Type

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
نمونه هائي از حملات اينترنتي توسط نامه هاي الکترونيکي
-(10 Body) 
نمونه هائي از حملات اينترنتي توسط نامه هاي الکترونيکي
Visitor 435
Category: دنياي فن آوري
بمنظور بررسي نقاط آسيب پذير و نحوه انتشار ويروس هاي کامپيوتري با استفاده از کدهاي مخرب ،عملکرد سه ويروس را مورد بررسي قرار مي دهيم . هدف از بررسي فوق استفاده از تجارب موجود و اتخاذ راهکارهاي مناسب بمنظور پيشگيري از موارد مشابه است .آناليز دقيق رفتار هر يک از ويروس ها و نحوه مقابله و يا آسيب زدائي آنان از حوصله اين مقاله خارج بوده و هدف ، صرفا" نشان دادن تاثير نقاط آسيب پذير در يک تهاچم اطلاعاتي بمنظور تخريب اطلاعات و منابع موجود در يک شبکه کامپيوتري ( اينترانت ، اينترنت ) و نقش کاربران در اين زمينه است .

بررسي عملکرد کرم ILOVEYOU

کرم فوق ، در يک اسکريپت ويژوال بيسيک و بصورت فايلي ضميمه در يک نامه الکترونيکي عرضه مي گردد .همزمان با بازنمودن فايل ضميمه توسط کاربران، زمينه فعال شدن کرم فوق، فراهم خواهد شد . عملکرد اين کرم ، بصورت زير است :
• نسخه هائي از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs و LOVE-LETTER-FOR-YOU.vbs تکثير مي نمايد.
• نسخه اي از خود را در فولدر ويندوز و با نام Win32DLL.vbs تکثير مي نمايد .
• اقدام به تغيير مقادير دو کليد ريجستري زير مي نمايد .کليدهاي فوق، باعث فعال نمودن ( فراخواني ) کرم ، پس از هر بار راه انداري سيستم مي گردند .

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunService\Win32DLL


• در ادامه، بررسي مي گردد که آيا دايرکتوري سيستم شامل فايل WinFAT32.exe است؟ در صورت وجود فايل فوق( نشاندهنده ويندوز 95 و 98 )، صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روي سايت www.skyinet.net تبديل مي گردد . فايل فوق از يکي از دايرکتوري هاي موجود در سايت فوق با نام angelcat , chu , koichi دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت ( در زمان آتي ) ، صفحه آغاز ، آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ مي گردد . کليد ريجستري صفحه آغاز، در آدرس زير قرار مي گيرد .

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage


• ما قادر به دستيابي به www.skyinet.net ، بمنظور اخذ يک نسخه از فايل فوق نمي باشيم . با پيگيري انجام شده بر روي اينترنت مشخص شده است که برنامه فوق ، ممکن است آژانسي بمنظور جمع آوري رمزهاي عبور و ارسال آنها به يک سايت مرکزي از طريق پست الکترونيکي باشد .
• ILOVEYOU در ادامه بررسي مي نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوري مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe مي گردد . در صورتيکه فايل فوق پيدا گردد ، کدهاي مخرب ، يک کليد RUN را بمنظور فراخواني WIN-BUGFIX.exe از دايرکتوري مربوطه فعال مي نمايند .نشانه گوياي اين کليد ريجستري، بصورت زير است :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINBUGFIX


• ILOVEYOU در ادامه ، يک فايل با نام LOVE-LETTER-FOR-YOU.HTM در دايرکتوري سيستم ايجاد مي نمايد .فايل Htm ، شامل منطق VBScript بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
• کدهاي مخرب در ادامه ، از طريق نامه الکترونيکي براي افراديکه در ليست دفترچه آدرس مربوط به کاربر مي باشند،اشاعه و توزيع مي شوند . براي هر شخص موجود در دفترچه آدرس، يک پيام الکترونيکي ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه مي گردد. پس ازارسال پيام براي تمام افراد موجود در ليست دفترچه آدرس، ILOVEYOU برروي تمام درايوهاي موجود در کامپيوتر ، عمليات خود را تکرار مي نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست هاي موجود در درايو مربوطه ، عمليات جستجو براي يافتن فايل هاي با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامي فايل ها ي با انشعابات فوق، توسط کدهاي مخرب بازنويسي و يک نسخه از کدهاي مخرب در آنها قرار خواهد گرفت .
• در صورتيکه فايلي از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهاي مخرب در فايلي با انشعاب vbs ايجاد و در دايرکتوري مربوطه مستقر مي گردد . نام فايل به نام دايرکتوري بستگي داشته و داراي انشعاب vbs است .
• در صورتيکه ILOVEYOU فايلي با نام micr32.exe , mlink.exe mric.ini و يا mirc.hlp را پيدا نمايد، فرض را بر اين خواهد گذاشت که فهرست مربوطه ، يک دايرکتوري شروع IRC)Internet Relay Chat) است وفايلي با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه برنامه سرويس گيرنده IRC اجراء گردد، شروع به فعاليت نموده و اقدام به ارسال کدهاي مخرب براي تمام کامپيوترهائي که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .

بررسي عملکرد ويروس Melissa

Melissa يک ويروس در ارتباط با فايل هاي Word97 و Word2000 بوده که امکان توزيع آن توسط برنامه Microsoft Outlook فراهم مي گردد . ويروس فوق، نسخه هائي از خود را با سرعت بسيار زياد براي کاربران توزيع مي نمايد . نحوه انتشار و گسترش ويروس فوق ، مشابه بروز يک حريق بزرگ در سيستم هاي پست الکترونيکي در يک سازمان و اينترنت بوده که آسيب هاي فراواني را بدنبال خواهد داشت . اين ويروس با نام Mellissa ويا W97M/Melissa (نام کلاسي که شامل ماکرو ويروس است) ناميده مي شود. ويروس فوق، با استفاده از VBA)Visual Basic for Application) سندهاي ايجاد شده توسط Microsoft word را آلوده مي نمايد.( VBA يک زبان مبتني بر اسکريپت بوده که امکان استفاده از آن در مجموعه برنامه هاي آفيس وجود دارد). ويروس فوق سه عمليات اساسي را انجام مي دهد :
• Word را آلوده و در ادامه تمام سندهاي فعال شده word را نيز آلوده و.بدين ترتيب امکان توزيع و گسترش آن فراهم مي گردد .
• باعث بروز برخي تغييرات در تنظيمات سيستم بمنظور تسهيل در ماموريت خود ( آلودگي اطلاعات ) مي گردد .
• با استفاده از برنامه Microsoft Outlook و در ظاهر يک پيام دوستانه ، نمونه هائي از خود را به مقصد آدرس هاي متعدد، ارسال مي نمايد.
زمانيکه يک فايل Word آلوده به ويروس Melissa فعال مي گردد،Melissa به تمپليت سند NORMAL.DOT نيز سرايت مي گردد. محل فوق،مکاني است که Word تنظيمات خاص و پيش فرض در ارتباط با ماکروها را ذخيره مي نمايد . Melissa ، با تکثير خود درون NORMAL.DOT برنامه نصب شده Word را آلوده و بدين ترتيب هر سند و يا تمپليتي که ايجاد مي گردد، ويروس به آن اضافه خواهد شد. بنابراين در موارديکه يک سند فعال و يا غيرفعال مي گردد ، زمينه اجراي ويروس فراهم خواهد شد . در صورتيکه کليد ريجستري زيردر کامپيوتري وجود داشته باشد، نشاندهنده آلودگي سيستم به ويروس Melissa است . مقدار کليد ريجستري فوق " by Kwyjibo..." است .

 HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa


بررسي عملکرد ويروس BubbleBoy

BubbleBoy يک کرم مبتني بر اسکريپت در يک نامه الکترونيکي بوده که از نقاط آسيب پذير IE 5.0 استفاده و باعث آسيب سيستم هاي مبتني بر ويندوز 98 و 2000 مي گردد . کرم فوق بصورت Html در يک پيام الکترونيکي قرار مي گيرد. در زمان مشاهده نامه هاي الکترونيکي با استفاده از برنامه Outlook Expree بصورت حتي پيش نمايش ، زمينه فعال شدن کرم فوق فراهم خواهد شد . در صورتيکه از برنامه Microsoft Outlook استفاده مي گردد، پس از فعال شدن( باز شدن ) نامه الکترونيکي، زمينه اجراي آن فراهم خواهد شد .کرم فوق با استفاده از VBScript نوشته شده و پس از فراهم شدن شرايط لازم براي اجراء ، فايلي با نام UPDATW.HTA را در دايرکتوري Startup ويندوز ايجاد مي نمايد . فايل فوق تغييرات زير رادر ريجستري سيستم ، انجام خواهد داد :
• تغيير Registered owner به BubbleBoy
• تغيير Registered organization به Vandelay Industries
کرم فوق درادامه اقدام به تکثير خود از طريق يک نامه الکترونيکي به تمام افراد موجود در ليست دفترچه آدرس برنامه Outlook Express مي نمايد . علت انتشار و اجراي کرم فوق بدليل وجود نقص امنيتي در تکنولوژي ActiveX ماکروسافت است . اشکال فوق به عناصر scriplet , typelib و Eyedog در ActiveX ، مربوط مي گردد . عناصر فوق بعنوان المان هاي امين و تائيد شده در نظر گرفته شده و اين امکان به آنها داده خواهد شد که کنترل عمليات را بر اساس حقوق کاربران بر روي ماشين مربوطه انجام دهند . ماکروسافت بمنظور مقابله با مشکل فوق اقدام به عرضه يک Patch امنيتي براي برنامه IE نموده است .

خلاصه

همانگونه که حدس زده ايد،وجود نواقص امنيتي در محصولات نرم افزاري يکي از مهمترين دلايل توزيع و گسترش ويروس در شبکه هاي کامپيوتري است . برنامه هاي Outlook Express و Microsoft Outlook نمونه هائي در اين زمينه بوده که عموما" از آنها براي دريافت و ارسال نامه هاي الکترونيکي استفاده مي گردد . دستيابي به دفترچه آدرس از طريق کدهاي برنامه نويسي و هدايت سيستم بسمت ارسال نامه هاي الکترونيکي آلوده به مقصد هاي قانوني ( با توجه به وجود آدرس هاي معتبر در هر يک از دفترچه هاي آدرس ) از علل مهم در توزيع و گسترش اين نوع از ويروس هاي کامپيوتري محسوب مي گردد . تعلل يک کاربر در شبکه مبني بر عدم رعايت موارد ايمني خصوصا" در رابطه با فعال نمودن و مشاهده نامه هاي الکترونيکي آلوده ، نه تنها باعث صدمه اطلاعاتي براي کاربر و يا سازمان مربوطه وي مي گردد ، بلکه کاربر فوق، خود بعنوان ابزاري ( غير مستقيم ) براي توزيع و گسترش ويروس در شبکه تبديل شده است . امنيت در شبکه هاي کامپيوتري فرآيندي مستمر است که مي بايست توسط تمام کاربران صرفنظر از موقعيت عملياتي و شغلي در يک سازمان رعايت گردد. ما در رابطه با سازمان خود چه تدابيري را انديشيده و کاربران شبکه تا چه ميزان نسبت به عملکرد خود توجيه و تاثيررفتار غير امنيتي خود در تمام شبکه را مي دانند ؟ در صورتيکه يکي از مسافران يک پرواز هواپيمائي مسائل ايمني را در رابطه با پرواز رعايت ننمايد و از اين بابت به ساير مسافران موجود در پرواز صدمه ( جاني ،روحي ، مالي و ... ) وارد گردد ، مقصر کيست ؟ در صورتيکه دامنه صدمات احتمالي ،سازمان ارائه دهنده خدمات پرواز را نيز شامل گردد مقصر کيست ؟ چه کاري مي توانستيم انجام دهيم که احتمال بروز چنين مسائلي را کاهش و حتي حذف نمائيم ؟ وجود نقص امنيتي در منابع سخت افزاري و نرم افزاري پرواز نيز در جاي خود مي تواند شرايط مساعدي را براي صدمات احتمالي فراهم نمايد .
بهرحال عملکرد نادرست کاربران موجود در يک شبکه کامپيوتري ، تاثير مستقيمي بر عملکرد تمام سيستم داشته و لازم است قبل از بروز حوادث ناگوار اطلاعاتي ، تدابير لازم اتخاذ گردد ! . امنيت در يک شبکه کامپيوتري مشابه ايجاد يک تابلوي نقاشي است که نقاشان متعددي براي خلق آن با يکديگر تشريک مساعي مي نمايند. در صورتيکه يکي از نقاشان در اين زمينه تعلل ( سهوا" و يا عمدا" ) نمايد، قطعا" اثر هنري خلق شده ( در صورتيکه خلق شود ! ) آنچيزي نخواهد بود که مي بايست باشد !
Add Comments
Name:
Email:
User Comments:
SecurityCode: Captcha ImageChange Image
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.