معرفی جند نمونه ویروس، کرم و تروجان

[Di Di]

برای آنالیز کردن بهتره اول سورس ویروس رو ببینی. با این کار می تونی به توابع API مورد استفاده در ویروس دست پیدا کنی. زبان برنامه نویسی ویروس و احتمالا جاهایی که سرک می کشه.
بعدش می تونی اون رو توی یه دیباگر اجرا کنی و مرحله به مرحله کارش رو دنبال کنی. می تون روی توابع ساخت فایل در کرنل ویندوز بریک پوینت بزاری ، ... اصلا می تونی سورسش رو عوض کنی!!

در سطوح بالاتر برای کنترل ( در اینجا هرچی سطح پائین تر باشه بهتره ) می تونی از ابزارهای KasperSky برای آنالیز ویروس ها استفاه کنی. این ویروس کش از نسخه 7 به بعدش به نام ویروس لب ( یعنی آزمایشگاه ویروس ) منتشر می شه و بهترین کمک ها رو برای ره گیری فایند کار یک ویروس در اختیار کاربران عادی قرار می ده.

در کل اگه هیچ کدومه اینها رو هم نداشته باشی باز هم می تونی ویروست رو آنالیز کنی. ویروس رو اجرا کن ببین چی می شه!! مطمئنا ویروس ها بالاخره یا تو رجیستری یا تا روت ویندوز یا System32 و در برخی مواقع در دیگر روتهای اصلی ویندوز رد و اثری از خودشون باقی می زارن. و در نهایت می خوان خودشون رو در درایوهای دیگه کپی کنن ( به جز ویروس هایی که خودشون رو به ته فایلها اتچ می کنن) پاک کردنشون کاری نداره به نظرم این همه دنگ و فنگ برای آنالیز کردن ضروری نیست.

[Iron_Fist]

برای اینکه ویروسی نشید و بتونید عملکرد ویروس رو مشاهده کنید
می تونید از Deep Freeze استفاده کنید

[IISecurity.C]

برای آنالیز کردن بهتره اول سورس ویروس رو ببینی. با این کار می تونی به توابع API مورد استفاده در ویروس دست پیدا کنی. زبان برنامه نویسی ویروس و احتمالا جاهایی که سرک می کشه.
بعدش می تونی اون رو توی یه دیباگر اجرا کنی و مرحله به مرحله کارش رو دنبال کنی. می تون روی توابع ساخت فایل در کرنل ویندوز بریک پوینت بزاری ، ... اصلا می تونی سورسش رو عوض کنی!!

میشه برای این یه ابزار کار امد معرفی کنید . ممنون

[Di Di]

از برنامه PEID برای پیدا کردن زبان برنامه نویسی و نوع پکر ویروس استاده کن.
بعدش باید بگردی آنپکرش رو پیدا کنی.
برای دیسمبلر کردنش از OllyDbg استفاده کن. همچنین PEdasem و چند نرم افزار دیگه هم وجود داره که می تونی از اونها استاده کنی.

تمام برنامه های بالا به علاوه آنپکرهای معروف رو از این سایت می تونی دانلود کنی: http://www.learn2crack.com

[lord_viper]

کرم Nimda
این کرم با استفاده از 12 روش متفاوت پخش می شود و یکی از نمونه های عالی است البته بهتر از Nimda هم وجود دارد . کرم هایی هم مانند Storm هم که بی نطیر هستند کارشناسان وقتی قصد دارند کدهای مخرب را آنالیز کنند معمولا آن را روی ماشین های مجازی نصب می کنند Storm می تواند دو محیط را شناسایی کند :VMware,Microsoft Virtual PC . وقتی که Storm تشخیص دهد که روی این سیستم ها نصب می شود بدون آلودگی آن ماشین را از نو راه اندازی می کند . lion هم بسیاری جالب عمل می کرد در حالی که آسیب پذیری Buffer Overflow را در سرویس BIND سیستم های لینوکسی Exploit می کرد مانند یک Rootkit هم اجزای اصلی سیستم را دچار تحریف می کرد توجه داشته باشید که طراحی Rootkit برای سیستم های ویندوزی و لینوکسی با هم تفاوت دارد و نویسنده باید کاملا با برنامه نویسی و ساختار سیستم مورد مورد نظز آشنایی داشته باشد تا بتواند یک Rootkit شیطانی و خبیث را طراحی کند ...
مطالعه آنالیز ها به ما کمک می کنند تا با نحوه نفوذ ویروس ها به سیستم آشنا باشیم و از روش آلودگی هر ویروس آگاه شویم .
نام Nimda برعکس Admin می باشد و در 18 ستامبر سال 2001 به سرعت در اینترنت در حال پخش شدن بود . Warhead این کرم تمام نسخه های ویندوز اعم از 2000,98,ME,NT را آلوده می کرد Warhead این کرم سعی می کرد با استفاده از روش های زیر به سیستم نفوذ کند :
Flaws in Microsoft IIS Web Server : راهنمای عبور از حفره های به هکر ها این امکان را می دهد تا با ارسال درخواست های HTTP به سرور برنامه هایی را که بر روی سرور وب قرار ندارد را اجرا نمایند . روی شاخه ی ماشین های مرکزی ایمن نشده این امکان را فراهم می کردند که شاخه ی شاخه بر روی سرورهای وب پیمایش و فرمان های را روی آن ها اجرا کنند . کرم Nimda در قسمت Warhead خود فرمان ها را به سرور های وب ارسال و اجرا می کرد .
Browers That Surf to an Infected Web Server : اگر کاربر از سرور وب آلوده استفاده می کرد به کرم Nimda آلوده می شد سرور های وب تمایل داشتند که کدهای کرم را همراه با صفحات سایت ها در Browser ها باز کنند هنگامی که IE با کدهای این کرم مواجه می شد شروع به اجرای Warhead می کرد و بدین صورت کرم بر روی ماشین هدف نصب می گردید .
Nimda: Outlook E-Mail Clients می تواند کاربران از طریق E-Mail هم آلوده کند . استفاده از پیکربندی برنامه Outlook برای خواندن E-Mail و ضمیمه های جاسازی شده که شامل Nimda باشد باعث رشد قربانیان در این نوع تکنیک می شود .
Windows File Sharing: زمانی این کرم بر روی Win نصب می شود به دنبال فایل های که پسوند ASP,HTML,HTM و فایل های Share شده و فایل های EXE بر روی شبکه می گرد و خود را درون آن ها می نویسد .
Nimda: Backdoors form Pervious Worms بر روی شبکه به دنبال Backdoor هایی که توسط دیگر کرم ها نظیر Code Red II و Sadmind/IIS ایجاد شده بود می گشت و زمانی که آن ها را پیدا می کرد سعی می کرد وارد آن ها شده و سیستم را از دیگر کرم ها پاکسازی کند .

Propagation Engine این کرم همراه با Warhead کار می کند انتشار این کرم از طریق Web Site ها با استفاده از HTTP و استفاده از E-Mail ها درOutlook و فایل های Share شده با استفاده از SMB می باشد . زمانی که کرم برای یافتن سرور های وب که آسیب پذیری Directory Traversal را دارند خود را روی TFTP کپی می کند .
قسمت Target Selection Algorithm این کرم به دو صورت عمل می کند :
1-بر روی E-Mail ها تمرکز دارد و اگر برنامه Outlook بر روی سیستم نصب شده باشد کرم به دنبال ليست E-Mail می گردد و در فایل های HTML,HTM برای یافتن آدرس های E-Mail جستجو می کند و به هر آدرسی که پیدا کرد یک نسخه از خود را به آن آدرس می فرستد . Subject و Body نامه ها توسط کرم Nimda ویرایش می شود .
2-Target Selection Algorithm ليستی از IP ها را برای چک کردن آسیب پذیری Directory Traversal آماده می سازد و حضور Backdoor کرم های Code Red II وSadmind/IIS باعث نفوذ می شود . این قسمت کرم بد عمل می کند و IP ها نزدیک IP ماشین قربانی انتخاب می کند بعد از مدتی الگوریتم لیستی از IP تهیه می کند که قسمت هشتایی اول IP مانند ماشین قربانی است . در قسمت اول آدرس های IP یکسان هستند . بدین وسیله هدف گیری در نزدیک ماشین قربانی انجام می شود و سپس یک ربع بعد شروع به هدف گیری تصادفی می کند .
قسمت Payload کاملا حرفه ای طراحی شده است و سعی می کند بر بیشتر ماشین ها پیروز گردد و به Backdoorها دست یابد و سعی می کرد درایو C ماشین قربانی را به اشتراک بگذارد .

[zacaria]

کرم Klez:
نوع دیگری از کرم کامپیوتر KLEZ که در ششم جولای دوباره جان گرفت و نامه های الکترونیکی آلوده را منتشر می کند. این کرم انرژی عجیبی دارد و با تداومی مخاطره آمیز تولید مثل می نماید. شرکت امنیتی Message Labs در انگلستان تخمین می زند که از هر 200 پیغام الکترونیکی حداقل یکی از آنها حاوی نوعی کرم Klez است. شرکت های سیمانتیک و مک آفی دو شرکت بزرگ تولید کننده نرم افزارهای آنتی ویروس روزانه بیش از 2000 گزارش از موارد آلودگی به این ویروس دریافت می کنند.
ویژگی های منحصر بفردKlez:
klezچند ويژگي آزاردهنده دارد كه ممكن است در آينده بين ويروس هاي اينترنتي، عمومي شوند .در وهله اول، خطر اين ويروس مركب است، چون نرم افزار آن خود را مانند ويروس تكثير كرده و گاه مانند يك كرم كامپيوتري يا اسب تروا عمل مي كند .

ويروس klez خود را به آدرس هايي كه از كتاب آدرس به سرقت برده، پست مي كند، اما در عين حال مي تواند در يك هاردديسك آلوده، به جستجوي آدرس هاي موجود در Cache مرورگر وب يا در بين فايل هاي موقتي بپردازد .ويروس klez همچنين آدرس بازگشت خود را از همان منابع تهيه ميكند و همين امر موجب دشواري رديابي آن مي شود .ساختار اين ويروس نشان مي دهد كساني كه برنامههاي ويروس را مي نويسند به فرزندان مخلوقات خود آموخته اند تا زيركتر باشند .دسترسي به آدرسها با روانشناسي كاربران ارتباط دارد .كاربران بايد روي ضميمه هاي فايلي كه ويروس را آزاد مي سازد، كليك كنند تا آن را به ساير سيستم ها انتشار دهند .اما klez فقط يك ويروس مزاحم نيست و كارشناسان ويروس هنوز نميدانند اين ويروس توسط كدام نفوذگر فعال شده است .

به گفته يكي از كارشناسان ويروس، ماهيت ويروسها به شكلي است كه هويت توليد كنندگان خود را مخفي نگاه مي دارند .ما فقط در صورتي كه ارسال كننده ويروس، مسووليت ارسال آن را قبول كند، مي توانيم به منشاء ويروس و اينكه آيا ارسال آن عمدي بوده است يا خير و يا به دليل اصلي انتشار آن، پي ببريم .

روش كارklez
ويروس هايي كه خطرات مركب دارند، به روشهاي گوناگون، سيستم هارا آلوده كرده و براي سوءاستفاده از آسيب پذيريهاي شبكه، از تكنيكهاي مختلفي استفاده مي كنند .در اين رابطه ارتقاي دائمي نرمافزار ضد ويروس كافي نيست .كاربراني كه به طور مرتب برنامه هاي ترميمي (Patch) امنيتي را نصب مي كنند، براي دفاع از كامپيوترهاي خود در مقابل كرمهايي كه از نقطه ضعفهاي شناخته شده ويندوز استفاده مي كنند، مجهزتر هستند .از زماني كه klez شناسايي شد، توليدكنندگان نرم افزارهاي ضدويروس، هفت نوع متفاوت از اين ويروس را كشف كردهاند .اين گونه ها، از بسياري جهات به يكديگر شبيه هستند و تنهاكمي متفاوت از يكديگر عمل ميكنند .براي مثال، بعضي از نسخه هاي اخير اين ويروس، حتي قادرند از طريق كپي كردن فايلهاي آلوده در سرورها و هاردديسكهاي به اشتراك گذاشته شده، به ساير كامپيوترهاي شبكه حمله كنند .آخرين نوع شناخته شده از اين ويروس،W32.klez.h@mm ، كرم ديگري را در بردارد كه اصطلاحا EIKern به معني ويروس درون يك ويروس ناميده ميشود و ميتواند به قدري به سيستم عامل لطمه وارد كند كه هيچ نرمافزار ضد ويروسي قادر به مرمت آن نباشد .در برخي از موارد، كاربران ناگزيرند كل هاردديسك را فرمت كرده و ويندوز را دوباره نصب كنند تا اين ويروس را از PC خود پاك كنند.

پژوهشگران، كدهاي مضري چون klez را كرم كامپيوتري مينامند، چون اين كدها ميتوانند خود را به كامپيوتر شخصي قرباني بعدي انتقال دهند .اما ويروسها براي انتشار به كامپيوتر قربانيان ديگر، به برنامه هاي آسيب پذير متكي هستند و اغلب از برنامه پست الكترونيك قربانيان استفاده مي كنند .در سالهاي اخير Outlook Express پرطرفدارترين هدف نويسندگان ويروس بوده است، چون اين برنامه همراه با ويندوزعرضه مي شود و تقريبا در تمام كامپيوترهاي شخصي نصب شده است .

klezمعمولا در صندوق نامه قربانيان از همه جا بيخبر به صورت ضميمه فايل از راه مي رسد و وقتي قرباني، دوبار روي ضميمه كليك مي كند، ضيافت klez آغاز مي شود .اين كرم آدرسهاي جديد بازگشت را به سرقت برده و خود را با دهها خط موضوع (Subject line) مختلف منتشر ميكند .گاه ظاهر خود را به شكل ابزار نابود كننده klez در مي آورد و گاه به طور تصادفي از فايل هاي موجود در هاردديسك قرباني، خط موضوعي را استخراج كرده و مورد استفاده قرار مي دهد .

سارا گوردون كه دنياي اسرارآميز نويسندگان ويروس را مطالعه مي كند، مي گويد: اين نوع ترفندهاي مهندسي اجتماعي بسيار موثرند .مردم نميخواهند نامه هاي دوستان يا همكاران خود را بدون پاسخ بگذارند، بنابراين احساس مي كنند كه بايد ضميمه ها را باز كنند، حتي اگر در اين مورد به آنها هشدار داده شده باشد.

رديابي klez غيرممكن است
متخصصان نرم افزارهاي ضد ويروس اتفاق نظر دارند كه اولين بار، چين و آسياي جنوب شرقي، شيوع وسيع klez را تجربه كردند .اما اين بدان معني نيست كه خالق اين ويروس در آسيا يا حتي در نيمكرهاي كه اين قاره در آن واقع است، زندگي مي كند .

خانم گوردون مي گويد: معمولا از متن درون يك ويروس يا حتي اولين محلي كه ويروس در آن مشاهده شده است نميتوان به محل اصلي كه ويروس در آن نوشته و يا فعال شده است، پي برد.ساير متخصصان با وي موافق هستند و اعتراف ميكنند سابقه آنها در رديابي نويسندگان ويروس به هيچ وجه درخشان نبوده است .حتي اگر كارشناسان بتوانند كامپيوتري كه ويروس براي اولين بار در آن ديده شده، شناسايي كنند، فردي كه ويروس مورد نظر را فعال كرده، لزوما همان فردي نيست كه برنامه آن را نوشته است .

در نتيجه، چون اين موجودات مزاحم اساسا خارج از كنترل هستند، كاربران PC بايد هميشه آماده مواجهه با اين موجودات باشند .داستان مايكل جيلسون، يك داستان كاملا عادي است .وقتي او از مجله PC World درخواست كمك كرد، سيل پيامهاي الكترونيكي آلوده به ويروس klez به كامپيوتر او سرازير شده بود.

جيلسون مي گويد: من هر روز نرم افزار ضد ويروس خود را به روز مي رسانم و درباره آلوده شدن نرم افزارهاي خود زياد نگران نيستم، اما اين موقعيت بسيار كلافه كننده است و من ميخواهم هر چه زودتر متوقف شود.

احتمالا klez راه كامپيوتر جيلسون را به اين دليل در پيش گرفته كه آدرس پست الكترونيك او در يكي از كتابهاي آدرس موجود در يك يا چند كامپيوتر آلوده، وجود داشته است .متاسفانه تا زماني كه تمام دوستان و آشنايان جيلسون با استفاده از ابزارklez Removal Tool ، هاردديسك آلوده خود را پاكسازي نكردند و ابزار ضدويروس جديد را نصب نكردند، klez همچنان در صندوق نامه جيلسون ظاهر ميشد .
منبع:
http://www.hooronline.com