اينترنت ، برنامه هاي کامپيوتري و کاربران . در واقع اين يک حلقه سالم در دنياي ديجيتال است اما تغيير يک مورد از اين سه مورد ميتواند باعث بروز مشکلات زيادي شود . درست حدس زده ايد ، برنامه هاي کامپيوتري ! در صورتي که اين آيتم از ذات مفيد خود فاصله بگيرد ، ميتواند به يک سلاح بسيار قدرتمند و مخرب تبديل شود .
مطمئنم که تا به حال در مورد انواع و اقسام بدافزارهاي کامپيوتري مطالب مختلفي را خوانده ايد و هيچکدام از شما به هيچ وجه دوست نداريد تا طعمه ي يکي از آنها شويد . مخصوصا که اگر مثل بدافزارهاي خانواده Win32/Morto يکي از بد جنس ترين ها باشند .
اين خانواده از بدافزارها جزو دسته ي کرم هاي کامپيوتري هستند . اولين نسخه از اين کرم با نام Win32/Morto.A در تاريخ 27 آگوست 2011 شناسايي شد . البته نامگذاري اين کرم در مرکز محافظت در برابر بدافزارهاي شرکت مايکروسافت ( MPC ) صورت گرفته است . اما نام آن در ساير شرکت هاي امنيتي متفاوت است و حتي برخي از آنها نيز نوع اين بدافزار را متفاوت اعلام کرده اند . در قسمت زير نام هايي که شرکت هاي مختلف براي اين بدافزار انتخاب کرده اند را با هم مشاهده ميکنيم :
Trojan horse Generic24.OJQ - AVG
Trojan.DownLoader4.48720 - Dr.Web
Win-Trojan/Helpagent.7184 - AhnLab
Troj/Agent-TEE - Sophos
خلاصه :
هدف اصلي اين کرم ، ايجاد دسترسي غير مجاز به کامپيوترهاي آلوده شده است . پس از اينکه کامپيوتر هدف آلوده شد ، Morto تلاش ميکند تا به حساب کاربري مدير ( Administrator ) دسترسي پيدا کند و اين کار را با استفاده از حدس زدن کلمات عبور حساب مدير سيستم انجام خواهد داد . پس انتخاب کلمات عبور ضعيف براي اکانت مديريت ، کار Morto را راحت تر خواهد کرد .
نشانه هاي آلودگي :
Morto هم مانند هر بدافزار ديگري نشانه هايي دارد که تشخيص وجود يا عدم وجود آن را براي ما راحت تر خواهد کرد . به عنوان مثال وجود فايل هاي زير در آدرس هاي مشخص شده ميتواند احتمال آلوده شدن شما را بالا ببرد .
1- وجود فايلي با نام clb.dll در فولدر Windows
2- وجود فايلي با نام clb.dll.bak در فولدر Windows
3- وجود فايلي با نام ntshrui.dll در مسير Windwos\temp
4- وجود فايلي با نام sens32.dll در مسير Windows\System
5- وجود فايلي با نام cache.txt در مسير Windows\offline web pages
همچنين بايستي کاوش در رجيستري ويندوز را آغاز کنيد . وجود تغييرات زير هم ميتواند به شما در کشف آلودگي کمک کند .
نکته : در رجيستري چند شاخه اصلي وجود دارد که يکي از آنها HKEY_LOCAL_MACHINE ميباشد . در زير به منظور کوتاه کردن جملات از اختصار HKLM براي اين شاخه استفاده شده است .
1- وجود آيتم هاي زير در زيرکليد HKLM\SYSTEM\Wpa :
It – id – sn – ie – md – sr
2- وجود آيتم NoPopUpsOnBoot با مقدار داده اي 1 در زيرکليد HKLM\SYSTEM\CurrentControlSet\Control\Windows
3- وجود آيتم ServiceDll با مقدار داده اي windir%\temp\ntshrui.dll% در زيرکليد HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters
4- وجود آيتم Description با مقدار داده اي 0 در زيرکليد HKLM\SYSTEM\CurrentControlSet\Services\6to4
5- وجود آيتم DependOnService با مقدار داده اي 0 در زيرکليد HKLM\SYSTEM\CurrentControlSet\Services\Sens
6- وجود آيتم ServiceDll با مقدار داده اي system folder>\sens32.dll> در زيرکليد HKLM\SYSTEM\CurrentControlSet\Services\Sens\Parameters
Morto چگونه در سيستم نصب ميشود ؟
Morto داراي چند کامپوننت ، يک نصاب ( Installer ) و يک فايل DLL ميباشد . هنگامي که اينستالر اجرا شود ، فايل DLL با عنوان clb.dll در دايرکتوري Windows قرار خواهد گرفت و همچنين فايل cache.txt در مسير windows\offline web pages ايجاد خواهد شد . اگر Morto آپديت شود ، يک فايل بک آپ به نام clb.dll.bak در سيستم ايجاد خواهد شد . همچنين کامپوننت اجرايي نيز يک کد رمزنگاري شده را در کليد رجيستري HKLM\SYSTEM\WPA\md خواهد نوشت و سپس عمليات خاتمه خواهد يافت .
فايل clb.dll به اين دليل نامگذاري شده است که همين نام اشاره به يک کامپوننت سالم ويندوزي دارد که توسط رجيستري مورد استفاده قرار ميگيرد . Morto پس از فعال شدن در سيستم ، رجيستري را به شکل تغيير ميدهد تا به جاي فايل اصلي clb.dll ، فايل آلوده و مربوط به خودش را اجرا کند . در واقع وظيفه فايل clb.dll اين است تا اطلاعات پيکربندي رمزنگاري شده را به رجيستري اضافه کند و سبب دانلود و اجراي کامپوننت هاي جديد شود .
روش هاي شيوع :
به خطر انداختن ارتباطات راه دور در يک شبکه ، پورت 3389 ( RDP ) : اين کرم از طريق نفوذ به زيرشبکه هاي ( subnet ) کامپيوتر آلوده شده ، اقدام به تکثير خود ميکند .
ليست نام هاي کاربري که اين کرم بروي کامپيوترهاي ساب نت تست ميکند :
1
actuser
adm
admin
admin2
administrator
aspnet
backup
computer
console
david
guest
john
owner
root
server
sql
support
support_388945a0
sys
test2
test3
user
user1
user5
ليست کلمات عبوري که بروي کامپيوترهاي ساب نت تست ميشود :
*1234
0
111
123
369
1111
12345
111111
123123
123321
123456
168168
520520
654321
666666
888888
1234567
12345678
123456789
1234567890
!@#$%^
%u%
%u%12
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin
admin123
letmein
pass
password
server
test
user
اگر Morto بتواند به سيستمي نفوذ کند ، فايل هاي clb.dll و a.dll را کپي کرده و همچنين يک فايل با پسوند REG در سيستم ايجاد خواهد کرد .
بروزرساني کرم :
پس از فعال شدن Morto در سيستم ، اقدام به برقراري ارتباط با آدرس هاي زير به منظور دريافت اطلاعات و همچنين بروزرساني خود ميکند .
210?3?38?82
jifr.info
jifr.co.cc
jifr.co.be
jifr.net
qfsl.net
qfsl.co.cc
qfsl.co.be
در بين آدرس هاي بالا ، 2 دامنه بين المللي ( net و info ) و دو دامنه مربوط به مناطق خاص به چشم ميخورد . دامنه co.cc که مربوط به جزاير کوکوس استراليا ميباشد ( که البته فراگيري عمومي دارد و سايت هاي وطني زيادي با اين نام دامنه وجود دارند ) و دامنه co.be نيز مربوط به کشور بلژيک است .
اجراي حملات DOS :
احتمال اين مورد نيز ميرود که Morto ، سيستم آلوده شده را به شکل يک زامبي براي حمله به اهداف مورد نظر هکر بکار گيرد .
از کار انداختن برخي پردازش ها :
ميتوان با قاطعيت گفت که همه بدافزارها تمام تلاش خود را ميکنند تا مانع از کار نرم افزارهاي امنيتي شوند . هر کدام هم به طريقي اين کار را انجام ميدهند . يکي از اين روش ها ، از کار انداختن پردازش مربوط به برنامه هاي امنيتي است . Morto تلاش ميکند تا پردازش هاي زير که بيشتر مربوط به برنامه هاي امنيتي هستند را از کار بيندازد . ليستي از اين پردازش ها را در قسمت زير مشاهده ميکنيد :
ACAAS
360rp
a2service
ArcaConfSV
AvastSvc
avguard
avgwdsvc
avp
avpmapp
ccSvcHst
cmdagent
coreServiceShell
ekrn
FortiScand
FPAVServer
freshclam
fsdfwd
GDFwSvc
K7RTScan
knsdave
KVSrvXP
kxescore
mcshield
MPSvc
MsMpEng
NSESVC.EXE
PavFnSvr
RavMonD
SavService
scanwscs
SpySweeper
Vba32Ldr
vsserv
zhudongfangyu
پاکسازي ردپاها :
طبيعي است که خرابکارها هميشه ردپاي خود را پاک ميکنند . ولي در اينکه چقدر در اينکار موفق باشند ، بستگي به خودشان دارد . اما تا اينجاي کار ميدانيم که Morto گزارشات سيستمي زير را حذف ميکند :
Applications
Security
System
نسخه هاي بعدي :
در حال حاضر نسخه دوم که با نام Morto.B شناخته ميشود نيز منتشر شده و در حال آلوده سازي کامپيوترهاست . گرچه آزمايشگاه کسپرسکي خبر از انتشار نسخه سوم با نام Morto.C نيز داده است . نسخه هاي بعدي به مراتب سريع تر و تهاجمي تر هستند .
پيشگيري :
در حال حاضر آنتي ويروس ها و برنامه هاي امنيتي ، Morto را به دام مي اندازند . اما با توجه به آپديت هاي سريع اين کرم ، بايد تمامي موارد امنيتي را رعايت کرده و هيچ غفلتي در انجام اين کارها نکنيد .
برخي از مواردي که ميتوان به آنها اشاره کرد عبارتند از :
1- فعال سازي فايروال سيستم و يا استفاده از يک فايروال قدرتمند و مجزا .
2- دريافت آخرين آپديت هاي ويندوز .
3- محدود کردن دسترسي کاربران به ساير قسمت هاي سيستم . به عنوان مثال نيازي نيست همه کاربران از اکانتي با مجوزهاي دسترسي بالا استفاده کنند .
4- اسکن کامل سيستم با استفاده از يک آنتي ويروس آپديت شده و قدرتمند .
5- احتياط در برخورد با فايل هاي ضميمه شده ايميل ها و فايل هاي رد و بدل شده در شبکه ها .
6- احتياط در وبگردي هاي شما . مخصوصا کليک بروي لينک هايي که از سالم بودنشان اطمينان نداريد .
7- دانلود نکردن نرم افزارها از وبسايت هاي نامعتبر .
8- مراقبت بيشتر در هنگام فعاليت در شبکه هاي اجتماعي .
9- انتخاب کلمات عبور قدرتمند براي محافظت از حساب هاي کاربري .
منبع
در صورت آلودگي :
در صورتي که علائم آلودگي در سيستم شما مشاهده شد ، ميتوانيد از روش هاي زير استفاده کنيد .
1- استفاده از آنتي ويروس ها قبل از بارگذاري شدن کامل ويندوز : در واقع اين روش در اکثر مواقع به درستي کار ميکند . در صورتي که بدين شکل از نرم افزارهاي امنيتي استفاده کنيد ، ميتوانيد از قبل فعال شدن بدافزار در سيستم ، يک اسکن کامل انجام دهيد تا در صورت وجود آلودگي ، بتوانيد آن را برطرف کنيد . در صورتي که مايل به انجام اينکار هستيد ميتوانيد اين مطلب را از گويا آي تي مطالعه کنيد .
2- اسکن درايوهاي ويندوزي در توزيع هاي لينوکسي :
اين روش هم واقعا روش کارآمديست . در صورتي که سيستم را با يک ديسک زنده ( Live CD ) از برخي توزيع هاي لينوکسي مثل ابونتو بالا بياوريد ، ميتوانيد بدون فعال شدن بدافزار ، سيستم را به شکل کامل اسکن کنيد . چون اين بدافزار براي ويندوز طراحي شده است و در لينوکس هيچگونه اثري نخواهد داشت

منبع:http://www.gooyait.com
ارسال توسط کاربر محترم سايت : hasantaleb