ايتنا - اين ويروس با بررسي كلماتي مانند *** از باز كردن فايلها يا سايتهايي در اين زمينه جلوگيري مينمايد، اين در حالي است كه در بسياري از سايتهاي پزشكي نيز از اين كلمات استفاده شده است و كاربران آلوده به اين ويروس قادر به استفاده از اطلاعات مفيد اين سايتها نيستند.
بررسي ويروس Yusufali.B
نيما مجيدي
Nima_Majidi(at)hat-squad.com
Hat-Squad گروه تحقيقات امنيتي
«...و در آيندهاي نزديك زياد دور از ذهن نيست كه ويروسهاي محلي توسط برنامهنويسان ايراني توليد شوند و به علت ويژگيهايي مانند استفاده از زبان فارسي و اطلاعات موجود از فرهنگ ايراني، رايانههاي هزاران كاربر ايراني را در سرار جهان آلوده سازند و ضربههاي غيرقابل جبراني را به اطلاعات فارسي وارد كنند...»
(ايتنا - روزنامه ايران - پنجشنبه 21 خردادماه 1383)
پاراگراف بالا قسمتي از مقالهاي است كه به عنوان «Cycle اولين كرم رايانهاي ايراني» حدود يك سال پيش توسط اينجانب به رشته تحرير در آمد. اين ويروس با دنبال كردن اهداف سياسي توانست نظر كارشناسان خارج از ايران را به خود جلب نمايد. پس از گذشت روزها از انتشار آن هيچ خبري از بازتاب گسترش ويروس Cycle در داخل كشور نشد. پيشگويي من بار ديگر به حقيقت پيوست با گذشت زمان شاهد انتشار اولين ويروس بومي در كشور هستيم. و حال پس از گذشت يك سال، شاهد انتشار اولين ويروس بومي ايراني هستيم. اين ويروس با نام Yusufali در ميان كارشناسان امنيت مشهور گرديده و از ورود كاربران به سايتهاي غيراخلاقي جلوگيري مينمايد. البته اين قسمتي از داستان است كه توسط سايتهاي خبري ايراني منتشر گرديده است و با وجود استفاده شدن از زبان فارسي در ساختار اين برنامه مخرب، هيچ يك از سايتهاي خبري در داخل كشور به بومي بودن اين ويروس، اشارهاي نكرده و تنها به ترجمه خبر از سايتهاي خارجي قناعت كردهاند، گرچه به سايتهاي خبري نميتوان خرده گرفت.
زمان در ادامه به بسياري نشان خواهد داد كه بيتوجهي به مسائلي از اين دست، به بهاي گراني تمام خواهد شد. امروزه در دنياي امنيت، كوتاه بودن زمان بررسي حوادث و هشداردهي به كاربران به عنوان اصل اول براي پيشگيري مورد توجه قرار ميگيرد. علت آن نيز برنامهريزهاي درازمدت و سازماندهي تيمهاي فعالي است كه در جهان غرب با صرف هزينههاي دولتي و بخش خصوصي روز به روز ديوار محكمتري را در مقابل حملات ويروسنويسان و نفوذگران پديد ميآورند. كشورهاي پيشرو در صنعت IT پذيرفتهاند كه قدم برداشتن در راه تامين امنيت فضاي تبادل اطلاعات، به يك كنفرانس دانشجويي و چاپ كردن تعدادي مقاله و راهاندازي يك وب سايت خلاصه نميشود، بلكه نياز اصلي آن به نيروهاي متخصصي است كه قادر باشند خود را با حملات و تكنيكهاي جديد آشنا سازند و در مقابل آنها به ارائه راه حل بپردازند. گرچه معلوم نيست اندك نيروي محدودي كه در ايران در حال فعاليت در زمينه امنيت اطلاعات هستند نيز تا به كي صبر را پيشه كنند و حرفه اصلي خود را فداي ندانمكاريهاي مسئولين نمايند. بسياري كه از ايران رفتهاند و احتمالا بازماندگان ديگر نيز راهي جز رفتن به جايي كه بهاي فعاليت آنها را بدانند نمييابند.
اين بار نيز ويروس Yusufali با ظاهر ساختن آيهاي از قرآن مجيد بر روي كامپيوترهاي آلوده شده، توانست نظر كارشناسان خارج از ايران را بار ديگر به خود جلب نمايد و با عنوان يك ويروس عربي شناخته شود، گر چه متن فارسي نيز در مقابل كاربران ظاهر ميگشت كه متاسفانه به علت نزديك بودن ظاهري كلمات فارسي و عربي كارشناسان خارجي قادر به تشخيص آن نشدهاند. اين ويروس با بررسي كلماتي مانند *** از باز كردن فايلها يا سايتهايي در اين زمينه جلوگيري مينمايد، اين در حالي است كه در بسياري از سايتهاي پزشكي نيز از اين كلمات استفاده شده است و كاربران آلوده به اين ويروس قادر به استفاده از اطلاعات مفيد اين سايتها نيستند. بازتاب خبري اين ويروس در خارج از ايران، حرفها و حديثهاي زيادي را به دنبال داشته است. گروهي آن را فعاليت تروريستي ناميدهاند، و گروهي ديگر، انتشار ويروس را در جهت ترويج مسائل ديني، كاري اشتباه دانستهاند. در جايي خبرنگار گاردين از يكي از متخصصين امنيت ميپرسد كه معني كلمه jeggar كه در ساختار اين ويروس از آن استفاده شده است چيست!؟ و متخصص جوابي را براي بيان كردن نمييابد. گرچه تمام كاربران ايراني در داخل كشور به زبان بيان اين كلمه آشنايي كامل دارند.
در ادامه به بررسي نسخه جديد اين ويروس ميپردازيم كه در داخل ايران رواج يافته است.
بررسي روش شروع به كار خودكار ويروس(StartUp Method):
در قدم اول پس از اجراي برنامه Documents.exe توسط كاربر يك نسخه از فايل برنامه ويروس به نام Systemdll.exe در زير پوشه System32 كپي ميشود. ويروس با اضافه ساختن كليدهاي زير به رجيستري قادر است تا پس از هر بار بوت شدن، خود را فعال سازد اين كليدها عبارتند از:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run”LoadService”=””
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run”System4224411”=”\system32\systemdll.exe”
نكته : كليد اول به علت اشتباه برنامهنويس ويروس با هيچ مقداري پر نميشود.
بررسي عملكردهاي منفي ويروس(Virus Payloads):
اين ويروس در قدم بعد به جستوجوي فايلي به نام Systask.exe در پوشه System32 ميپردازد. در صورتي كه اين فايل موجود بوده و فعال نباشد، آن را از پوشهSystem32 حذف مينمايد، هدف از انجام اين عمل مشخص نيست.
همچنين اين ويروس پس از اجرا شدن به بررسي مقادير كليدهاي زير از رجيستري ميپردازد:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Terminal Server\”TSAppCompat”]
مقدار عددي اين كليد، وضعيت نوع فعاليت سرويس Terminal Server را مشخص ميسازد كه در كدام يك از حالاتApplication يا Remote Administrators قرار دارد.
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Terminal Server\”TSUserEnabled”]
مقدار اين كليد در مورد وضيت گروه كاربري است كه اجازه استفاده از سرويس راه دور Terminal Server را دارا ميباشد.
نكته: با تغيير مقادير عددي اين كليدها ميتوان حالت يا حتي نوع سطح دسترسي كاربران به سرويس Terminal Server كه براي مديريت ويندوز از راه دور استفاده ميشود را تغيير داد اما به نظر ميرسد بار ديگر به علت اشتباه در برنامهنويسي اين ويروس، تنها اين مقادير مورد بازبيني قرار ميگيرند و تغييري در آنها ايجاد نميشود.
پس از فعال شدن ويروس بر روي ماشين كاربر، اين برنامه به بررسي فعاليتهاي كاربر ميپردازد و Title Bar تمام پنجرههاي فعال را مورد بررسي قرار مي دهد تا در صورت مشاهده كلمات حساس كه به برنامه معرفي شده است، از خود وا كنش نشان دهد اين كلمات عبارتند از :
***, Teen, xx, Phallus, Jeggar, Priapus, Phallic, Penis, Exhibitionism
در صورتي كه هر يك از اين كلمات در قسمت Title Bar يك پنجره فعال موجود باشند، پنجره مورد نظر در مدت چند ثانيه به حال Minimize در آمده و سه جعبه براي كاربر به نمايش درميآيد:
اين جعبه از نوع پنجره اخطار است و عدد 7 مانند يك شمارنده ميباشد كه تعداد فعاليت اين ويروس را بيان ميكند، در ادامه به بررسي دقيقتر آن خواهيم پرداخت. پس از كليلك كردن بر روي دكمه ok پنجره بعد باز ميشود كه مربوط به نمايش ساعت فعلي سيستم است:
در صورتي كه كاربر نشانه گر Mouse خود را بر روي اين پنجره به حركت در بياورد، پنجره بعدي ظاهر ميشود:
در اين پنجره، كاربر قادر نيست تا نشانهگر Mouse خود را از محيط قرمز رنگ خارج سازد و در صورت فشار دادن هر يك از سه دكمه، از ويندوز خارج ميشود و به اصطلاح فني، از سيستم عامل ويندوز Logoff ميشود.
نكته: هر يك از اين سه كليد عمل Log Off را انجام ميدهند كه به نظر ميرسد باز برنامهنويس اين ويروس، اشتباهي را در كدنويسي مرتكب شده است. همچنين صفحه كليد، فعاليت طبيعي خود را دنبال ميكند و ميتوان با باز كردن Task Managerبه فعاليت اين برنامه پايان داد و برنامه ويروس را از ليست پردازش هاي موجود End Task نمود.
شمارشگر :
پس از شروع فعاليت منفي ويروس و بعد از اولين نمايش پنجره اخطار، برنامه ويروس، كليدي را در رجيستري ايجاد مينمايد تا از آن به عنوان يك شمارشگر ساده استفاده نمايد. آدرس كليد شمارشگر در رجيستري:
[HKEY__CURRENT_USER\Software\VB and VBA Program Settings\
sexing\***”tedad”=”1”]
پس از مقداردهي اوليه در هر مرتبه باز شدن پنجره اخطار، مقدار اين شمارشگر از كليد مورد نظر خوانده شده و در انتهاي پيام جعبه اخطار به كاربر نشان داده ميشود. سپس يك عدد به آن اضافه شده و در كليد Tedad ذخيره ميشود.
نكته : با انجام عمليات مهندسي معكوس بر روي فايل باينري ويروس مشاهده شد كه برنامهنويس، هدفي خاصي را از ايجاد اين شمارشگر دنبال ميكرده است. در واقع اين شمارشگر به عنوان متغيري از يك شرط است تا با رسيدن به عدد مورد نظر، ويروس عمليات مخربي را آغاز نمايد. كه اين قسمت نيز به علت نامعلوم درست طراحي نشده است.
روش گسترش ويروس(Spreading Method):
اين ويروس از روشهاي امروزي براي گسترش خود مانند ويروسهاي Blaster از طريق سوءاستفاده كردن از يك ضعف امنيتي شناخته شده و يا Mydoom به طريق ارسال ضميمه نامههاي پستي آلوده استفاده نميكند، بلكه روش سنتي يعني استفاده از ديسكهاي فلاپي را براي توزيع خود برگزيده است.
برنامه فعال ويروس در حافظه منتظر ميماند تا در نام يكي از پنجرههاي باز شده عبارات حساس زير را بيايد:
Format 3.5 Floppy (A:)
Formating 3.5 Floppy (A:)
Floppy
A:
سپس در صورت استفاده كاربر از درايو فلاپي، ويروس يك نسخه از فايل خود را به نام Documents.exe
در درايو A: بر روي فلاپي ديسك كپي كرده و همچنين يك پوشه مخفي به اسم Documents در همين درايو ايجاد مينمايد. شكل ICON اين فايل اجرايي به صورت يك پوشه است كه كه كاربر را ترغيب به باز كردن اين برنامه و در نتيجه اجراي فايل آلوده ميكند. پس از اجراي برنامه Documents.exe، ويروس پوشه مخفي را براي كاربر به نمايش درميآورد تا كاربر متوجه اجراي برنامه آلوده نشود و نوار Address در پنجره فلاپي درايو به صورت زير درميآيد:
A:\Documents\
نكته : چهار جمله حساس بيان شده به غير از كلمه Floppy، در ويندوز تنها به عنوان اسم پنجره فلاپي درايو مورد استفاده قرار ميگيرند. در نتيجه، اين ويروس با اين روش متوجه ميشود در چه زماني كاربر از فلاپي استفاده ميكند تا در موقع موردنظر، فلاپي ديسك را آلوده سازد. همچنين كلمه Formtaing داراي غلط املايي است و درست آن كلمه Formatting ميباشد، كه اين نيز جزو اشتباهات ويروسنويس محسوب ميشود.
روش پاكسازي ويروس:
1 – در ابتدا Task Manager را با فشار دادن همزمان كليدهاي Ctrl+shift+Esc باز كرده سپس به قسمت Process رفته و از آنجا فايلهاي Documents.exe و Systemdll.exe را End Task نماييد.
2 – به قست Start و Run رفته و برنامه Regedit را صدا بزنيد. پس از باز شده برنامه به آدرس:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
برويد و سپس كليدهاي System4224411 و LoadService را پاك نماييد.
3- به پوشه ويندوز و از آنجا به پوشه System32 برويد، سپس فايل System32.exe را جستوجو كنيد و آن را پاك نماييد.
رديابي:
علمي كه امروزه به عنوان Forensics مشهور گشته، متخصصين جرايم رايانهاي را قادر ميسازد تا با بررسي شواهد بدست آمده از فايل آلوده، و رديابي اطلاعات از نقطه گسترش ويروس، برنامهنويسان كدهاي مخرب را شناسايي كنند. اشاره به تكنيكهاي خاص Forensics از حوصله اين مقاله خارج است از اين رو تنها به بررسي قسمتي از اطلاعات بدست امده از فايل Ducuments.exe ميپردازيم.
اين اطلاعات به ما نشان ميدهند كه به طور فيزيكي، سورس ويروس در پوشهاي به نام virus بر روي Desktop شخص كاربري به نام محمد قرار داشته است. همچنين اين ويروس بوسيله زبان برنامهنويسي MS Visual Basic 6 توليد شده است. برنامه Visual Basic نيز بر روي سيستم ويروسنويس(محمد) در درايو E و تحت پوشه VB98 نصب شده است. اين ويروس براي اولين بار در خارج از كشور در اوايل سپتامبر 2005 مشاهده شده است و در ايران نيز در ماه هاي خرداد و تير 84 مشاهده شده است.گرچه هنوز زمان دقيقي از انتشار آن در دست نيست.