نمونه هائی از حملات اينترنتی توسط نامه های الکترونيکی
بمنظور بررسی نقاط آسيب پذير و نحوه انتشار ويروس های کامپيوتری با استفاده از کدهای مخرب ،عملکرد سه ويروس را مورد بررسی قرار می دهيم . هدف از بررسی فوق استفاده از تجارب موجود و اتخاذ راهکارهای مناسب بمنظور پيشگيری از موارد مشابه است .آناليز دقيق رفتار هر يک از ويروس ها و نحوه مقابله و يا آسيب زدائی آنان از حوصله اين مقاله خارج بوده و هدف ، صرفا" نشان دادن تاثير نقاط آسيب پذير در يک تهاچم اطلاعاتی بمنظور تخريب اطلاعات و منابع موجود در يک شبکه کامپيوتری ( اينترانت ، اينترنت ) و نقش کاربران در اين زمينه است .
بررسی عملکرد کرم ILOVEYOU
کرم فوق ، در يک اسکريپت ويژوال بيسيک و بصورت فايلی ضميمه در يک نامه الکترونيکی عرضه می گردد .همزمان با بازنمودن فايل ضميمه توسط کاربران، زمينه فعال شدن کرم فوق، فراهم خواهد شد . عملکرد اين کرم ، بصورت زير است :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent Version\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent Version\RunService\Win32DLL
- ILOVEYOU در ادامه بررسی می نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوری مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe می گردد . در صورتيکه فايل فوق پيدا گردد ، کدهای مخرب ، يک کليد RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دايرکتوری مربوطه فعال می نمايند .نشانه گويای اين کليد ريجستری، بصورت زير است :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\WINBUGFIX
- <LI dir=rtl>ILOVEYOU در ادامه ، يک فايل با نام LOVE-LETTER-FOR-YOU.HTM در دايرکتوری سيستم ايجاد می نمايد .فايل Htm ، شامل منطق VBScript بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
<LI dir=rtl>کدهای مخرب در ادامه ، از طريق نامه الکترونيکی برای افراديکه در ليست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزيع می شوند . برای هر شخص موجود در دفترچه آدرس، يک پيام الکترونيکی ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه می گردد. پس ازارسال پيام برای تمام افراد موجود در ليست دفترچه آدرس، ILOVEYOU برروی تمام درايوهای موجود در کامپيوتر ، عمليات خود را تکرار می نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست های موجود در درايو مربوطه ، عمليات جستجو برای يافتن فايل های با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامی فايل ها ی با انشعابات فوق، توسط کدهای مخرب بازنويسی و يک نسخه از کدهای مخرب در آنها قرار خواهد گرفت . - در صورتيکه فايلی از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهای مخرب در فايلی با انشعاب vbs ايجاد و در دايرکتوری مربوطه مستقر می گردد . نام فايل به نام دايرکتوری بستگی داشته و دارای انشعاب vbs است .
- در صورتيکه ILOVEYOU فايلی با نام micr32.exe , mlink.exe mric.ini و يا mirc.hlp را پيدا نمايد، فرض را بر اين خواهد گذاشت که فهرست مربوطه ، يک دايرکتوری شروع IRC)Internet Relay Chat) است وفايلی با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه برنامه سرويس گيرنده IRC اجراء گردد، شروع به فعاليت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپيوترهائی که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .
اگر در این مورد اطلاعات بیشتری می خواهید به لینک ذیل مراجعه کنید .
http://www.narvanco.net/download/articles/email.pdf