معرفی ویروس بلاستر
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ? Stop making money and fix your software .
البته این پیغام در نسخه دیگر و جدیدتر این کرم (W32/Blaster-B) تغییر کرده است .
کرم Blaster از طریق ایمیل گسترش پیدا نمی کند ، این کرم از طریق یافتن نسخه های آسیب پذیر ویندوز گسترش می یابد و این کار را از طریق سرویس (Remote Procedure Call) RPC ویندوز انجام می دهد . بنابراین برنامه های محافظ ایمیل قادر به شناسایی این کرم نیستند .
شرکتها و مدیران شبکه ها می بایست تکه نرم افزارهای محافظ مخصوص این کرم را از روی سایت مایکروسافت دریافت و نیز از صحیح نصب شدن Firewall ها بروی سیستمها و سرورهای خود اطمینان حاصل کرده و نیز مهمتر از همه آنتی ویروس بروز شده را فراموش نکنند .
نامهای مستعار :
W32/Lovsan.worm , W32.Blaster.worm , WORM_MSBLAST.A , win32.Poza , Worm/Lovsan.A
نوع :
win32 worm
W32/Blaster-A کرمی است که از طریق اینترنت و با استفاده از خطای آسیب پذیری DCOM موجود در سرویس (Remote Procedure Call) RPC سیستم عاملهای ویندوز که این خطا برای اولین بار توسط خود کمپانی مایکروسافت در اواسط ماه جولای 2003 فاش شد ، منتشر می شود . لازم به ذکر است این کرم برخلاف اغلب کرمهای دیگر از طریق ایمیل گسترش نمی یابد .
سیستم عاملهایی که در معرض هجوم این کرم می باشند بشرح زیر هستند :
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows Server 2003
در نسخه های ویندوز xp آلوده شده به این کرم ، باعث می شود بطور متوالی سرویس RPC متوقف شود و پیغامی مبنی بر خاموش شدن سیستم ظاهر شود “ System ShutDown" و بعد از حدود یک دقیقه سیستم حاوی ویندوز xp ، Reboot می شود .
ویندوزهای 95 ، 98 ، ME که از سرویس RPC استفاده نمی کنند از این بابت در خطر نیستند .
در مسیر یافتن سیستمهای آسیب پذیر ، کرم سیستم راه دور (کامپیوتر آسیب پذیر) را وادار به دریافت فایلی از طریق پروتکل دریافت فایل TFTP با عنوان msblast.exe ویا penis32.exe می نماید .
این فایل در شاخه ویندوز کپی می شود .
همچنین دستور زیر را در مسیر زیر واقع در رجیستری ویندوز اظافه می کند :
HKLM/Software/microsoft/windows/currentVersion/Run/windows auto update = "msblast.exe"
و نیز رشته کاراکتر زیر در کدهای این ویروس دیده شده که البته واضح نیست :
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ?
Stop making money and fix your software .
نحوه مقابله و پاکسازی:
Blaster از طریق شبکه اینترنت شبکه ها را جستجو کرده و سیستمهایی که دارای خطای آسیب پذیری سرویس محافظتی DCOM RPC هستند را یافته و به درون آنها نفوذ می کند .
تمهیداتی برای مدیران شبکه ها
مدیران شبکه (Adminstrators) برای مقابله با نفوذ این کرم به درون سیستمها و خنثی کردن آن بهتر است به گونه زیر عمل کنند :
- در اولین قدم بهتر است اگر آنتی ویروسی بروی سیستم خود ندارید یک آنتی ویروس مناسب از یکی از سایتهای مشهور و مورد اطمینان مانند Symantec و یا Mcafee را بروی سیستمهای خود نصب نمایید و یا اگر آنتی ویروس بروی سیستمها موجود است آنها را update نمائید .
- در قدم بعدی patch موجود در سایت
مایکروسافت را بروی تک تک سیستمها و سرورها دریافت و نصب کنید ، این patch عملیات Blaster را خنثی می کند .
- در قدم بعدی از آنجا که Blaster از فایل Tftp.exe که یکی از فایلهای برنامه ای ویندوز بشمار می رود برای رسیدن به مقاصد خود استفاده می کند ، اگر این فایل بروی سیستمهای شبکه موجود است و زیاد از آن استفاده نمی کنید بهتر است ترجیجاً آنرا تغییر نام بدهید ، مثلاً به Tftp-exe.old . فراموش نکنید که آنرا نباید پاک کرد ، ممکن است در آینده نرم افزارهای ما به آن احتیاج پیدا کنند .
- در قدم آخر توصیه می شود حتی الامکان ترافیک موجود در پورت های زیر را در نرم افزار Firewall خود مسدود نمائید .
- TCP/69 -used by Tftp process
- TCP/135-RPC remote access
- TCP/4444-used by this worm to connect
راهنمایی برای کاربران خانگی
اگر شما جزء افرادی هستید که از نسخه های ویندوز NT4 , 2000 , XP , server 2003 استفاده می کنید راهنمایی های زیر برای داشتن آگاهی کافی از چگونگی محافظت سیستم خود و حتی پاکسازی آن از آلودگی می تواند مفید باشد .
قدم اول :
توصیه می شود داشتن یک نرم افزار Firewall برروی سیستم می تواند در محافظت از کامپیوتر شما به شما کمک شایان توجهی نماید . اگر هم کامپیوترتان آلوده است راه اندازی نرم افزار Firewall می تواند عملیات مخفیانه کرمها در سیستم شما را محدود سازد .
درآخرین نسخه های ویندوز بروی خود ، نرم افزار Firewall مخصوص موجود است . نسخه های ویندوز XP و server2003 قبل از راه اندازی Firewall ویندوز ، اگر سیستم شما مدام reboot می شود ، ابتدا دسترسی به اینترنت را قطع کرده و سپس Firewall خود را فعال کنید .
کاربران XP :
برای راه اندازی Firewall ویندوز XP مراحل زیر را به ترتیب طی کنید :
- Network connection را باز کنید .
(startmenu/setting/controlPanel/Network & Internet connection)
- سپس روی گزینه Network connection کلیک کنید .
- برروی یکی از Internet connection هایی که مایلید محافظت انجام شود ، کلیک کنید .
سپس در سمت چپ و در قسمت Network tasks برروی settings of this connections کلیک کنید و یا برروی یکی از connection ها کلیک راست کرده و Properties را بزنید .
- در قسمت Advanced Tab اگر گزینه “Protect my computer network” تیک زده شود Firewall فعال است و اگر تیک آن برداشته شود ، غیر فعال است .
برای دریافت اطلاعات بیشتر راجع به این قسمت میتوانید به آدرس زیر مراجعه کنید :
www.microsoft.com/security/incident/blast.asp
کاربران ویندوز server 2003
می توانید برای فعال کردن Firewall ویندوز به آدرس زیر مراجعه کنید :
www.microsoft.com/technet/treeview/default.asp
قدم دوم:
گرفتن security patch قابل دسترسی در سایت مایکروسافت ، برای گرفتن این patch به آدرس زیر مراجعه کنید :
http://windowsupdate.microsoft.com
قدم سوم:
نصب یک آنتی ویروس قدم بعدی نصب یک آنتی ویروس مناسب است که فراموش نکنید از بروز بودن آن مطمئن باشید ، اگر هم نرم افزار آنتی ویروس بروی سیستم دارید آنرا update کنید .
توصیه می شود از نرم افزارهای مورد اطمینان تر موجود در سایتهای مشهور استفاده کنید .
قدم چهارم:
پاکسازی کرم از روی سیستم
برای انجام این کار می توانید از نرم افزار آنتی ویروس update شده خود بهره مند شوید ، ولی اگر می خواهید بصورت manual برای اطمینان بیشتر ، خودتان دست بکار شوید بهتر است قبل از هر کاری کرم موجود در سیستم را شناسایی و مشخصات آن را در نرم افزار آنتی ویروس خود و یا در یکی از وب سایتهای ضد ویروس مطالعه کرده و سپس اقدام به پاکسازی آن نمائید .
پاکسازی Blaster-A از روی سیستم بصورت دستی
قدم اول : ابتدا مطمئن شوید که security patch مخصوص را از سایت مایکروسافت دریافت کرده اید و آنرا برروی سیستم نصب نموده اید .
قدم دوم : کلیدهای Ctrl+Alt+Del را بطور همزمان با هم بفشارید .
قدم سوم : پس از ظاهر شدن پنجره Task manager برروی Processes Tab کلیک کنید .
قدم چهارم : پرسه ای با نام msblast.exe را در لیست جستجو کنید .
قدم پنجم : پس از یافتن بروی آن کلیک کرده ، پس از آنکه آنرا highlight نمودید ، بروی End process کلیک کنید و Task manager را ببندید .
قدم ششم : سه فایل Teekids.exe , Penis32.exe , msblast.exe را توسط موتور جستجوگر ویندوز (Start /search) جستجو کنید .
(توضیح: لازم به توضیح است این سه فایل مربوط به سه نسخه این کرم می باشد ، که msblast.exe مرتبط با نسخه اول این کرم یعنی MSBLAST-A می باشد .)
احتمالاً به همراه فایلهای اجرائی فوق ، فایلهایی با پسوند .Pif نیز با همین اسامی ممکن است یافته شود ، پس از اتمام عملیات جستجو کلیه فایلهای یافته شده با مشخصات بالا را پاک نمائید . این فایلها همگی در شاخه ویندوز یافته خواهند شد .
قدم هفتم : حال می بایست دستور اضافه شده به رجیستری توسط کرم را یافته و از بین ببریم .
البته عملیات فوق را می توان با استفاده از دستور دیگری هم انجام داد :
- در پنجره Run دستور زیر را تایپ کنید .
Services.msc /s
-در پنجره ظاهر شده بروی گزینه “Services and Application" دوبل کلیک کنید .همانطور که مشاهده می شود لیستی از سرویسها ظاهر می شود .
- در قسمت راست پنجره سرویس RPC -Remote Procedure Call را جستجو کنید .
- برروی آن کلیک راست کرده و Properties را انتخاب کنید .
- بروی Recovery TAB کلیک کنید .
- لیستهای کرکره ای موجود (Subsequent failures , Second failure , First failure) را روی گزینه “ Restart the Service " تغییر دهید .
- سپس Apply کرده و بعد OK .
با انجام این عملیات ، Blaster دیگر قادر به Reboot کردن سیستم شما به هنگام اتصال به اینترنت نخواهد بود .
غیر فعال کردن System Restore در ویندوز XP
برای احتیاط لازم است سرویس بازیابی خودکار ویندوز XP یعنی System Restore را موقتاً غیر فعل نمائیم .
چرا که این قسمت از ویندوز XP بصورت پیش فرض فعال است و ممکن است ویندوز فایلهای آسیب دیده ، ویروس ها ، کرم ها و برنامه های اسب تروآ یی که احیاناً قبلاً بروی سیستم ما بوده اند را بازآوری نماید . برای غیر فعال کردن این قسمت به آدرس زیر در ویندوز xp مراجعه کنید :
Startmenu / setting / controlPanel / Performance and maintennance /system / system restore(tab) و سپس گزینه زیر را تیک می زنیم :
“Turn of system Restore on all Drives"
انواع دیگر BLASTER
W32/Blaster-A با نامهای مستعار Lovsan , MSBLAST , Poza گسترش یافته است .
هنوز چند هفته ای از شیوع این کرم نمی گذرد که انواع جدیدتر آن نیز دیده شده است .
W32/Blaster-Bعملکرد این نسخه از Blaster نیز مانند نسخه پیشین است با این تفاوت که فایلی که در پوشه ویندوز ایجاد می کند دیگر msblast.exe نمی باشد ، فایلی با نام teekids.exe می باشد ، همچنین دستوری را که در رجیستری ویندوز اضافه می کند نیز دستور قبلی نمی باشد بلکه این بار حاوی رشته کاراکترهایی اهانت آورعلیه Bill Gates و کمپانی مایکروسافت و سازندگان آنتی ویروسها می باشد.
نسخه دیگر این کرم با نام W32/Blaster-C نیز موجود است که نام فایل ایجاد کرده در شاخه ویندوز آن penis32.exe می باشد .
نکته: در کلیه نسخه های این کرم همراه فایلهای exe ایی که این کرم در شاخه ویندوز کپی می کند یک فایل با پسوند .pif نیز با همین نام در شاخه ویندوز می توان یافت .
خبر مسدود نمودن سایت windowsupdate.com ، توسط کمپانی مایکروسافت
W32/Blaster-A روز دوشنبه ، 11 آگوست 2003 برای اولین بار دیده شد .
براساس خبرهای گزارش شده ، کمپانی مایکروسافت تصمیم گرفته است آدرس URL ، windowsupdate.com این کمپانی را بطور کلی از بین ببرد . وب سایتی که توسط این کرم مورد حمله کلیه کامپیوترهای آلوده شده سراسر دنیا به این کرم در 16 آگوست بوده است .
طبق اعلام مایکروسافت : کاربران می توانند با مراجعه به آدرس http://windowsupdate.microsoft.com و یا صفحه اصلی مایکروسافت سیستمهای خود را update نموده و نیز از اطلاعات و patch های محافظ موجود ، استفاده کنند .
اسب تروآ “GrayBird” ، چهره دیگر Blaster
آزمایشگاه تحقیقاتی sophos چند روز قبل برروی وب سایت اختصاصی خود اعلام کرد که نرم افزار آنتی ویروس خود را بار دیگر update نمود ، چرا که متخصصان این مرکز به یک نوع نرم افزار مخرب اسب تروآ جدید با نام “Graybird” Trojan برخورد نموده اند .
این اسب تروآ جدید که به منظور بدنام کردن مایکروسافت و شاید جوابی علیه تمهیدات این کمپانی در مبارزه با کرم جدید Blaster بصورت عمدی بوجود آمده است که در قالب یک patch نرم افزاری محافظ علیه Blaster ، مربوط به کمپانی مایکروسافت خود را ارسال می کند .
این مرکز به کاربران توصیه می کند به هیچ عنوان patch های محافظتی ( Security patch) را که از طریق ایمیل برای آنها ارسال می شود ، باز نکنید ، حتی از منابع شناخته شده و مشهور باشد .
صحیح ترین و قابل اطمینان ترین محل برای دریافت patch های محافظ ، وب سایت اختصاصی کمپانی ها و فروشنده های مربوطه می باشد . همچنین از عمل کردن و یا Forward کردن پیغامهای مشکوکی که به هر شکلی رویدادها و پیشامدهایی را شرح و تفصیل می کنند و به خیال خود ممکن است مفید واقع گردد ، به همکاران و دوستان خود پرهیز کنید .
Graybird در قالب یک patch نرم افزاری متعلق به مایکروسافت می باشد و فقط یک حقه گمراه کننده است برای نفوذ کرم Blaster .
به گفته یکی از متخصصان این مرکز Blaster فقط و فقط یک باور و توهّم خیالی است که با نفوذ به صدها و هزاران سیستم در سراسر دنیا تلاش می کند تا کاربران را به ترس و وحشت گرفتار کند .
هیچوقت کدهای اجرائئ ارسال شده توسط ایمیل را باز نکنید .
نظر را فرموش نکنین
