روشهای مقابله با ویروس MS BLASTER

روشهای مقابله با ویروس MS BLASTER 
 
 
 این ویروس هنوز آزادانه در حال گسترش است و به گفته مسئولین شرکت آنتی ویروس سوفوس از هر چهار تماس تلفنی از طرف کاربران به این شرکت سه تلفن مربوط به این ویروس است. همچنین بخش امنیت کمپانی سیمانتک گسترش این ویروس را در حدود ۱۲۴ هزار کامپیوتر دنیا حدس میZزند. همانطور که همگی شنیده اید در روزهای اخیر ویروسی بر روی بسیاری از سیستم های ویندوز XP و ویندوز سرور ۲۰۰۳ فعال شده است که به محض اتصال به اینترنت ظرف یکدقیقه سیستم را RESTART می کند. نه تنها نحوه کار و آلوده سازی این ویروس بلکه حتی اسامی مختلفی که به آن داده شده است نیز بسیاری از افراد را گیج کرده می کند. این ویروس را شرکت سیمانتک (نورتن) به نام W۳۲.BLASTER.WORMN و شرکت MACAfee به نام W۳۲/LOVSAN.WORM و شرکت TRERND به نام MSBLAST.AWORM می شناسند. علاوه بر نامهای فوق ، این ویروس به نامهای زیر نیز شناخته می شود. COMRP.EXPLOIT , W۳۲/BLASTRER , W۳۲MSBLAST.A , WIN۳۲/POZA.A , WORM.WIN۳۲.POZA
معمولا ویروسهایی که برای سیستم عامل ویندوز نوشته می شود بر اساس نقاط ضعف برنامهZهای OUTLOOK یا OUTLOOK EXPRESS است و از طریق EMAIL منتشر می شود ولی این بار مساله کاملا متفاوت است. فقط کافی است به اینترنت متصل شوید همین. این ویروس هنوز آزادانه در حال گسترش است و به گفته مسئولین شرکت آنتی ویروس سوفوس از هر چهار تماس تلفنی از طرف کاربران به این شرکت سه تلفن مربوط به این ویروس است. همچنین بخش امنیت کمپانی سیمانتک گسترش این ویروس را در حدود ۱۲۴ هزار کامپیوتر دنیا حدس می زند. متخصصان مسائل امنیتی نیز هر دقیقه در حال اسکن کردن پورت ۱۳۵ کامپیوتر شخصی خود هستند. این همان پورتی است که مورد حمله ویروس LOVSAN قرار می گیرد. به گفته یکی از صاحبنظران ، اظهار نظر در مورد گسترش این ویروس بسیار مشکل است چرا که درباره ویروس هایی که از طریق EMAIL منتشر می شود می توانیم تعداد ایمیل را بشماریم و از میزان گسترش آنها باخبر شویم. اما در مورد ویروس جدید ایمیلی در کار نیست که بتوانیم با شمردن آن از گسترش آن اطلاع دقیق پیدا کنیم. LOVSAN به عنوان یک کرم شبکه ، فعالیت هایی که مردم از این قبیل ویروس انتظار دارند از خود نشان نمی دهد. ویروس هایی مثل ویروس SQL SLAMMER که مدتی پیش منتشر شد قادرند بدون دخالت بشر خود را منتقل کنند. در مورد ویروس LOVSAN نیز سیستم هایی را آلوده می نماید که سیستم عامل آنها ویندوز باشد و به اینترنت متصل باشند و پورت RPC آنها نیز باز باشد. روشی که این ویروس از آن استفاده می کند بسیار جدید ا ست و برای اولین بار شرکت مایکرو سافت برای رفع آن اقدام کرد. برخلاف تصور ، این ویروس مختص ویندوز XP و ویندوز ۲۰۰۴ سرور نیست و سیستم های مبتنی بر ویندوز NT و ویندوز ۲۰۰۰ را نیز آلوده می سازد اما در آنها این صفحه RESTART ظاهر نمی شود. RPC یک پروتکل است که اجازه می دهد برنامه ای که روی یک سیستم در حال اجرا است کدی را روی کامپیوتر دیگری اجرا کند. قسمتی از ویندوز که وظیفه انتقال پیامها از طریق TCP/IP را دارد در مقابل دریافت درخواست های ناقص و بد شکل ممکن است دچار مشکل شود به طوری که اگر روی یکی از پورت های ۱۳۵،۴۴۵،۱۳۹،۵۹۳ درخواستی را که به شکل ویژه ای طراحی شده است ارسال کنیم خواهیم توانست تقریبا هر کاری مانند نصب برنامه ، خواندن فایل ها ، تغییر دادن یا پاک کردن فایلها و ساختن اشتراک جدید با حقوق کامل را روی آن سیستم انجام دهیم. ویروسی که در حال حاضر شیوع پیدا کرده است از همین روش استفاده می کند و از بین پورت های مذکور در بالا پورت ۱۳۵ را به کار می برد. این ویروس پورت ۴۴۴۴ را نیز باز می کند و از طرف دیگر پورت ۶۹ یک سرور FTP می سازد تا سیستمی که آلوده می کند بتواند با استفاده از دستور FTP ویندوز ، فایل ویروس را از آنجا بگیرد و سپس با دریافت دستور مناسب آن را اجرا کند. ویروس به محض رسیدن به کامپیوتر کد زیر را در رجیستری ویندوز اضافه می کند تا بتواند هر بار که ویندوز اجرا می شود خود را اجرا کند.
HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN
“WINDOWS AUTO UPDATE “= MSBLAST.EXE
ویروس WORM_MSBLAST.A هر ۲۰ ثانیه یکبار بیدار می شود و بررسی می کند که آیا سیستم به اینترنت متصل شده است یا خیر. اگر اتصالی وجود نداشت دوباره به مدت ۲۰ ثانیه می خوابد.اما در غیر اینصورت به تاریخ کامپیوتر شما نگاه می کند اگر روز از ۱۶ بیشتر بود یا ماه بین ژانویه و آگوست بوداز طریق کامپیوتر شما با ارسال پکت های ویژه ای که فقط شامل TCP/IP HEADER هستند و با مهارت ساخته شده اند به سایت WWW.WINDOWSUPDATE.COM حمله می کند به طوری که در هر ثانیه ۵۰ هزار پیام از این دسته را به آن سایت ارسال می کند تا یک DOS ATTACK را شکل دهد و سایت مذکور را فلج کند. تفاوت ظاهر فعالیت ویروس برای کاربران سیستم های آلوده در ویندوزهای مختلف از اینجا ناشی می شود که هنگامی RPC در ویندوز ۲۰۰۰ دچار مشکل شود فعالیتش خاتمه می یابد ولی سیستم را RESTART نمی کند. در حالی که در ویندوز XP و یندوز ۲۰۰۰ سرور هنگام قطع فعالیتRPC ، NTAUTHORITY/SYSTEM سیستم را ظرف ۶۰ ثانیه RESTART خواهد کرد که این یکی از تکنیک های امنیتی بکار رفته در این ویندوزهاست.(در حقیقت دلیل این RESTART ممکن است تلاش ویروس از طریق سیستم شما به آلوده کردن سیستم دیگری باشد). کاربران ویندوز XP . COMMAND PROMPT (از منوی شروع گزینه RUN را انتخاب و CMD را در آن تایپ و آن را اجرا می کنیم) را باز و در آن دستور SHOTDOWN-A را تایپ و اجرا می کنیم. این دستور جلوی RESTART را می گیرد(حرف A به معنای ABORT است) همچنین نوشته زیر داخل متن ابن کرم به چشم می خورد.
I JUST WANT TO SAY LOVE YOU SAN !!
BILLY GATES WHY DO YOU MAKE THIS POSSIBLE ? STOP MAKING MONEY AND FIX YOUR SOFTWARE !!
که در آن از BILL GATES خواسته شده است به جای کسب درآمد جلوی اجرای چنین کرم هایی را بگیرد. می توان امیدوار بود که این کرم به بالا رفتن سطح کلی امنیت سیستم های عامل و صرف هزینه بیشتر روی امنیت ویندوز نیز از طرف دیگر به نصب بموقع و بروز رسانی های ویندوز توسط کاربران آن منجر شود.
● راه حلهای موقت که فقط جلو RESATART را می گیرند.
کاربران ویندوز XP . COMMAND PROMPT را از منوی شروع انتخاب کرده و گزینه را انتخاب کرده و دستور SHUT DOWN-A را تایپ و آن را اجرا می کنیم. این دستور جلوی RESATART شدن ویندوز را می گیرد. در ویندوز ۲۰۰۰ سرور کافی است که از CONTROL PANEL وارد ADMINISTRATOR TOOLS شده و از آنجا SERVICES را انتخاب کرده. از لیست گزینه RPC (REMOTE PROCEDURE CALL) را پیدا کنید. روی آن کلیک راست کنید و PROPERTIES را انتخاب کنید. در قسمت RECOVERY ملاحظه خواهید کرد که این سرویس دستور دارد در صورت بروز اشکال ویندوز را RESATART کند، کافی است دستور را عوض کنید. قابل توجه این که دو روش ذکر شده ویروس را پاک نمی کند ، فقط اجازه می دهد با سرعتی کمتر (چون ویروس هم از اینترنت شنا استفاده می کند) به اینترنت وصل شوید و بتواند اقدمات لازم برای پاک کردن ویروس را انجام دهید. هرگز و تحت هیچ شرایطی تصور نکنید در این مرحله کار تمام شده است.
● دستور العمل سریع مقابله با ویروس
۱- کامپیوتر آلوده شده را بوت کنید.
۲- در صورتی که پیغام SHUT DOWN IN ۶۰ SECONDS را مشاهده کردید. روی گزینه شروع و سپس گزینه RUN و دستور SHUTDOWN-A را اجرا نمائید.
۳- PATCH های ارایه شده توسط مایکروسافت را دانلود و نصب کنید تا حفره RPC بسته شود. می توانید فایلهای فوق را از آدرسهای زیر بدست آورید.
ویندوز ۲۰۰۰ : HTTP://WWW.F-SECURE.COM/DL-W۲K
ویندوز XP : http://www.f-secure.com/DL-WXP_
ویندوز NT۴ : http://www.microsoft.com/SECURITY/INCIDENT/BLAST.ASP
۴- یک برنامه ضد ویروس دریافت و نصب کنید.
● پاکسازی به روش دستی :
۱- سیستم RESTORE ویندوز XP را با استفاده از راهنمای زیر از کار بیندازید.
http://www.f-secure.com/V-DECS/SF_DISC۱.SHTML
۲- با استفاده از TASK MANAFER پروسه MSBLAST.EXE را خاتمه دهید.
۳- فایل MBLAST.EXE را از دایرکتوری سیستم ویندوز پاک کنید.
۴- دستور START/RUN/REGEDIT را اجرا نموده و مقدار رجیستری زیر را پاک کنید.
HKLIM\SOFTWARE\MICRISOFT\WINDOWS\CURRENT VERSION\WINDOWS AUTO UPDATE
۵- PATCH های ارایه شده توسط مایکروسافت را دریافت و نصب کنید.