آبجی
1st April 2010, 02:38 PM
ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس، در آذر ماه 87 مشاهده شده و از آن زمان تاکنون، گونه های متعددی از این ویروس بسیاری از کامپیوترها را در سراسر جهان از جمله ایران آلوده نموده است.
انتشار
ويروس Conficker برای تکثير، از یک حفره امنيتی در سیستم های عامل Windows (موضوع اصلاحیه شماره *MS08-067 مایکروسافت) سوء استفاده می کند. این ویروس پس از آلوده کردن کامپیوتر، با راه اندازی یک سرویس دهنده HTTP و از طریق یک درگاه با شماره متغیر (در محدوده 1024 تا 10000)، دستگاه آلوده را تبدیل به یک سرویس دهنده ویروس می کند. بدین ترتیب که با اسکن پی در پی IPهای در محدوده دستگاه آلوده، کامپیوترهای پیرامون را شناسایی و در صورتی که دارای حفره امنیتی مذکور باشند، از طریق سرویس دهنده HTTP که بر روی دستگاه آلوده اولیه راه اندازی شده، فایل مخرب را بر روی کامپیوتر جدید کپی می کند.
خرابکاری
به محض اجرا، فایل مخرب با نامهای متغیر در پوشه %SysDir% کپی می شود.
برخی از گونه های این ویروس فایل مخرب را در مسیرهای زیر کپی می کنند:
%ProgramFiles\Internet Explorer
%ProgramFiles\Movie Maker
%temp%
C:\Documents and Settings\All Users\Application Data
در ادامه با دستکاری کلیدهای زیر در محضرخانه، سرویسهایی با نامهای متغیر ایجاد می کند تا در هر بار راه اندازی دستگاه، به سيستم عامل تزريق شود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\Parameters\"ServiceDll" = "Path to worm"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
ویروس Conficker با وصل شدن به سرویس دهنده های زیر می کوشد تا IP عمومی (Public) دستگاه آلوده را برای سوءاستفاده های بعدی بدست آورد:
hxxp://www.getmyip.org
hxxp://getmyip.co.uk
hxxp://checkip.dyndns.org
hxxp://whatsmyipaddress.com
همچنین این ویروس با برقراری ارتباط با سرویس دهنده زیر (که یک سرویس دهنده روسی است) فایل مخرب دیگری را دریافت کند:
hxxp://trafficconverter.biz/[Removed]antispyware/[Removed].exe
سپس سرویسهای زیر توسط ویروس Conficker غیرفعال می شوند:
WerSvc (Microsoft Vista Windows Error Service)
ERSvc (Microsoft XP Windows Error Service)
BITS (Microsoft Background Intelligent Transfer Service – Updates)
wuauserv (Microsoft Windows Update)
WinDefend (Microsoft AV)
Wscsvc (Microsoft Windows Security Centre)
ضمن اینکه پروسه هایی را که در نام آنها یکی از عبارتهای زیر (که مربوط به برنامه های امنیتی هستند) وجود داشته باشد، نیز از کار خواهد انداخت:
wireshark (Network packet tool)
unlocker (Rootkit detection tool)
tcpview (Network packet tool)
sysclean (Trend Micro AV tool)
scct_ (Splinter Cell?)
regmon (Sys internals registry monitoring tool)
procmon (Sys internals registry monitoring tool)
procexp (Sys internals registry monitoring tool)
ms08-06 ( Privilege escalation HotFix)
mrtstub (Microsoft Malicious Software Removal Tool)
mrt. (Microsoft Malicious Software Removal Tool)
Mbsa . (Microsoft Malicious Software Removal Tool)
klwk (Kaspersky AV Tool)
kido (Less common name for W32/Conficker.worm or W32/downad.worm)
kb958 (Blocks MS08-067, KB958644)
kb890 (Microsoft Malicious Software Removal Tool)
hotfix (Microsoft hot fixes)
gmer (Rootkit detection tool)
filemon (Sys internals registry monitoring tool)
downad (Common names for Conficker.worm or downad.worm)
confick (Common names for Conficker.worm or downad.worm)
avenger (Rootkit detection tool)
autoruns (Hooking point detection tool)
بطور کلی، گونه های مختلفی را که از زمان پیدایش این ویروس ظاهر شده اند، می توان به سه گروه تقسیم نمود.
نسل اول:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
نسل دوم:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
- استفاده از پوشه به اشتراک گذاشته شده در شبکه برای انتشار فایلهای مخرب
- استفاده از فایل Autorun.inf برای اجرای ویروس
نسل سوم:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
- استفاده از پوشه به اشتراک گذاشته شده در شبکه برای انتشار فایلهای مخرب
- استفاده از فایل Autorun.inf برای اجرای ویروس
- ارتقاء حق دسترسی کاربر (از یک کاربر عادی و محدود، به کاربر Administrator)
- از کار انداختن پروسه های مربوط به نرم افزارهای امنیتی
همچنین در نگارشهای جدید این ویروس، اجرای اتوماتیک فایل مخرب از طریق بخش Scheduled Tasks صورت می پذیرد. ضدویروس مک آفی بهمراه آخرین DAT این گونه از ویروسها را با نام W32/Conficker.worm autorun!job شناسایی می کند.
پيشگيري
رعایت موارد زیر برای پیشگیری از آلوده شدن به این ویروس توصیه می شود:
- اصلاحیه MS08-067 باید بر روی همه کامپیوترها (بصورت دستی، اتوماتيک و يا از طريق سرويس WSUS) نصب گردد. حتی یک دستگاه فاقد این اصلاحیه، می تواند امنیت شبکه را به خطر بیاندازد.
- به روز نگه داشتن نرم افزارهای ضدویروس.
-استفاده از تنظيمات تـوصيـه شـده تـوسـط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده USB و برای کامپيوترهای پرخطر، فعال کردن قاعده های زیر:
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
- در مواقعی که برخی از کامپیوترها فاقد اصلاحیه مذکور هستند و ویروس در شبکه فعال شده است می توان در ضـد ويـروس McAfee در بخش Access Protection و با استفاده از گزینه AntiVirus Outbreak Control : Make all SharesRead-Only، پوشه های به اشتراک گذاشته شد را بحالت "فقط خواندنی" (Read Only) در آورد.
- با تعریف قاعده ای در بخش Access Protection درگاه های 139 و 445 غیرفعال شوند.
- فعال بودن گزینه BufferOverflow در ضدویروس McAfee بخصوص بر روی سرویس دهنده ها توصیه می شود.
- برای پاکسازی کامپیوترهای آلوده شده به این ویروس باید بعد از انجام On-Demand Scan دستگاه راه اندازی شده و مجدداً عمل اسکن انجام شود. همچنین می توانید از برنامه زیر که تنها برای پاکسازی این ویروس تهیه شده استفاده کنید:
http://www.sg-update.net/download/tools/Stinger_Coficker.exe (http://www.sg-update.net/download/tools/Stinger_Coficker.exe)
توجه داشته باشید که این ابزار همزمان با انتشار گونه های جدید ویروس Conficker تغییر خواهد کرد. بنابراین بهتر است از نسخه ای که در همان روز دریافت کرده اید، استفاده کنید.
انتشار
ويروس Conficker برای تکثير، از یک حفره امنيتی در سیستم های عامل Windows (موضوع اصلاحیه شماره *MS08-067 مایکروسافت) سوء استفاده می کند. این ویروس پس از آلوده کردن کامپیوتر، با راه اندازی یک سرویس دهنده HTTP و از طریق یک درگاه با شماره متغیر (در محدوده 1024 تا 10000)، دستگاه آلوده را تبدیل به یک سرویس دهنده ویروس می کند. بدین ترتیب که با اسکن پی در پی IPهای در محدوده دستگاه آلوده، کامپیوترهای پیرامون را شناسایی و در صورتی که دارای حفره امنیتی مذکور باشند، از طریق سرویس دهنده HTTP که بر روی دستگاه آلوده اولیه راه اندازی شده، فایل مخرب را بر روی کامپیوتر جدید کپی می کند.
خرابکاری
به محض اجرا، فایل مخرب با نامهای متغیر در پوشه %SysDir% کپی می شود.
برخی از گونه های این ویروس فایل مخرب را در مسیرهای زیر کپی می کنند:
%ProgramFiles\Internet Explorer
%ProgramFiles\Movie Maker
%temp%
C:\Documents and Settings\All Users\Application Data
در ادامه با دستکاری کلیدهای زیر در محضرخانه، سرویسهایی با نامهای متغیر ایجاد می کند تا در هر بار راه اندازی دستگاه، به سيستم عامل تزريق شود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\Parameters\"ServiceDll" = "Path to worm"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
ویروس Conficker با وصل شدن به سرویس دهنده های زیر می کوشد تا IP عمومی (Public) دستگاه آلوده را برای سوءاستفاده های بعدی بدست آورد:
hxxp://www.getmyip.org
hxxp://getmyip.co.uk
hxxp://checkip.dyndns.org
hxxp://whatsmyipaddress.com
همچنین این ویروس با برقراری ارتباط با سرویس دهنده زیر (که یک سرویس دهنده روسی است) فایل مخرب دیگری را دریافت کند:
hxxp://trafficconverter.biz/[Removed]antispyware/[Removed].exe
سپس سرویسهای زیر توسط ویروس Conficker غیرفعال می شوند:
WerSvc (Microsoft Vista Windows Error Service)
ERSvc (Microsoft XP Windows Error Service)
BITS (Microsoft Background Intelligent Transfer Service – Updates)
wuauserv (Microsoft Windows Update)
WinDefend (Microsoft AV)
Wscsvc (Microsoft Windows Security Centre)
ضمن اینکه پروسه هایی را که در نام آنها یکی از عبارتهای زیر (که مربوط به برنامه های امنیتی هستند) وجود داشته باشد، نیز از کار خواهد انداخت:
wireshark (Network packet tool)
unlocker (Rootkit detection tool)
tcpview (Network packet tool)
sysclean (Trend Micro AV tool)
scct_ (Splinter Cell?)
regmon (Sys internals registry monitoring tool)
procmon (Sys internals registry monitoring tool)
procexp (Sys internals registry monitoring tool)
ms08-06 ( Privilege escalation HotFix)
mrtstub (Microsoft Malicious Software Removal Tool)
mrt. (Microsoft Malicious Software Removal Tool)
Mbsa . (Microsoft Malicious Software Removal Tool)
klwk (Kaspersky AV Tool)
kido (Less common name for W32/Conficker.worm or W32/downad.worm)
kb958 (Blocks MS08-067, KB958644)
kb890 (Microsoft Malicious Software Removal Tool)
hotfix (Microsoft hot fixes)
gmer (Rootkit detection tool)
filemon (Sys internals registry monitoring tool)
downad (Common names for Conficker.worm or downad.worm)
confick (Common names for Conficker.worm or downad.worm)
avenger (Rootkit detection tool)
autoruns (Hooking point detection tool)
بطور کلی، گونه های مختلفی را که از زمان پیدایش این ویروس ظاهر شده اند، می توان به سه گروه تقسیم نمود.
نسل اول:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
نسل دوم:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
- استفاده از پوشه به اشتراک گذاشته شده در شبکه برای انتشار فایلهای مخرب
- استفاده از فایل Autorun.inf برای اجرای ویروس
نسل سوم:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
- استفاده از پوشه به اشتراک گذاشته شده در شبکه برای انتشار فایلهای مخرب
- استفاده از فایل Autorun.inf برای اجرای ویروس
- ارتقاء حق دسترسی کاربر (از یک کاربر عادی و محدود، به کاربر Administrator)
- از کار انداختن پروسه های مربوط به نرم افزارهای امنیتی
همچنین در نگارشهای جدید این ویروس، اجرای اتوماتیک فایل مخرب از طریق بخش Scheduled Tasks صورت می پذیرد. ضدویروس مک آفی بهمراه آخرین DAT این گونه از ویروسها را با نام W32/Conficker.worm autorun!job شناسایی می کند.
پيشگيري
رعایت موارد زیر برای پیشگیری از آلوده شدن به این ویروس توصیه می شود:
- اصلاحیه MS08-067 باید بر روی همه کامپیوترها (بصورت دستی، اتوماتيک و يا از طريق سرويس WSUS) نصب گردد. حتی یک دستگاه فاقد این اصلاحیه، می تواند امنیت شبکه را به خطر بیاندازد.
- به روز نگه داشتن نرم افزارهای ضدویروس.
-استفاده از تنظيمات تـوصيـه شـده تـوسـط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده USB و برای کامپيوترهای پرخطر، فعال کردن قاعده های زیر:
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
- در مواقعی که برخی از کامپیوترها فاقد اصلاحیه مذکور هستند و ویروس در شبکه فعال شده است می توان در ضـد ويـروس McAfee در بخش Access Protection و با استفاده از گزینه AntiVirus Outbreak Control : Make all SharesRead-Only، پوشه های به اشتراک گذاشته شد را بحالت "فقط خواندنی" (Read Only) در آورد.
- با تعریف قاعده ای در بخش Access Protection درگاه های 139 و 445 غیرفعال شوند.
- فعال بودن گزینه BufferOverflow در ضدویروس McAfee بخصوص بر روی سرویس دهنده ها توصیه می شود.
- برای پاکسازی کامپیوترهای آلوده شده به این ویروس باید بعد از انجام On-Demand Scan دستگاه راه اندازی شده و مجدداً عمل اسکن انجام شود. همچنین می توانید از برنامه زیر که تنها برای پاکسازی این ویروس تهیه شده استفاده کنید:
http://www.sg-update.net/download/tools/Stinger_Coficker.exe (http://www.sg-update.net/download/tools/Stinger_Coficker.exe)
توجه داشته باشید که این ابزار همزمان با انتشار گونه های جدید ویروس Conficker تغییر خواهد کرد. بنابراین بهتر است از نسخه ای که در همان روز دریافت کرده اید، استفاده کنید.