هجوم كرمهاي رايانه اي و كرم جديد SQL Slammer

4كرم ويندوز به نامهايLirva.A ،Explore Zip.E ، Lirve.B و جديدترين آن يعني Sobig حمله به شبكه ها و كامپيوترها را آغاز كرده اند .موسسه F-Secure در مورد تمامي اين ويروسها هشدار سطح 2 اعلام كرده است. بدين معني كه مديران سيستم و كاربران نهايي بايد از ايمني سيستم خود اطمينان حاصل كنند Level2 .سطح2، از نظر اهميت، دومين سطح هشدار موسسه F-Secure محسوب ميشود) Lirva.A .با نام مستعار (ArviL به نامه هاي الكترونيكي حمله ميكند و از طريق سيستمهاي گفت وگوKazaa ، ICQ و IRC و همچنين درايوهاي شبكه ويندوز و پوشه هاي اشتراكي خود را تكثير ميكند. اين ويروس شامل كدي براي غيرفعال كردن ويروسياب و برنامه هاي كاربردي امنيتي است علاوه بر آن كلمات عبور را نيز به سرقت مي برد .گونه B آن، از كد ديگري براي فريب افراد استفاده ميكند و شامل كدهاي بيشتري براي از كار انداختن برخي برنامههاي ويروسياب است .عمر Explore Zip.E كوتاه بود اما نسخه اصلاح شده آن كه مجددا منتشر شده، قادر به از كار انداختن بسياري از برنامه هاي ويروسياب است. اين كرم از طريق پست الكترونيكي و با افزودن يك پيوسته آلوده به نامه هاي خوانده نشده و پاسخ به آنها تكثير مي شود. در اين ميان، Sobig از پيوست نامهالكترونيكي PIF استفاده ميكند و به اشخاص امكان ميدهد دستگاههاي آلوده را كنترل كنند. شركت panda software اعلام كرده است ويروس Sobig به سرعت از طريق نامه الكترونيكي و از آدرس big@boss.com و با عنوان Attached file منتشر ميشود .در صورت انگليسي بودن زبان سيستم عامل sobig از طريق درايوهاي اشتراكي شبكه نيز تكثير ميشود .زماني كه sobig كامپيوتري را آلوده ميكند، پيامي به آدرس pagers.icq.com ارسال ميكند و براي دريافت يك اسب تروا به اينترنت متصل ميشود .ميزان خطر اين كرم، اندك است .اخيرا نيز كرم رايانهاي برنامه پروازها و دستگاههاي خودپرداز را در آژانسهاي هواپيمايي و بانكهاي آمريكا مختل كرد .درحدي كه دسترسي به اين كامپيوترها غير ممكن بود .طبق اظهارات كارشناسان امنيتي اينترنت به نظر ميرسد كه اين كرم، خسارتهاي جدي به بار نياورده است. اين كرم رايانه اي كه نام گرفته است، اواخر ژانويه سال جاري با استفاده از آسيب پذيري نرم افزار SQL Server 2000 مايكروسافت كه شش ماه قبل كشف شده بود، حمله را آغاز كرد .مايكروسافت يك برنامه ترميمي رايگان براي برطرف كردن اين مشكل ارائه كرده است . كارشناسان معتقدند كه اين حمله در18 ماه گذشته زيان بارترين  حمله بوده است، زيرا طبق گزارش رويتر اين حمله به طور گسترده، شبكه هايي را در آسيا، اروپا و آمريكا از كار انداخته است. مقامات بانك Bank of America در آمريكا اظهار داشتند كه در اثر اين حمله، بسياري از مشتريان نتوانستند با استفاده از  13000 دستگاه خود پرداز اين بانك، از حسابهاي خود پول دريافت كنند .با اين وجود اين بانك موفق شد پس از چند ساعت تقريبا تمام دستگاههاي خود پرداز را به حالت اول بازگرداند، بدون آنكه به وجوه نقد و اطلاعات شخصي مشتريانش آسيبي وارد شود . اين كرم به دورن سرور رخنه ميكند و پس از انتشار، ترافيك زيادي در شبكه ايجاد كرده و از سرعت اينترنت مي كاهد. SANS، سازماني است كه به كارشناسان سيستمها و شبكه ها، روشهاي حفاظت را آموزش ميدهد، اين موسسه اعلام كرده كه كرم SQL به فايلهاي ذخيره شده در كامپيوترها آسيبي نرسانده است اما با تكثير سريع و ارسال پرسوجو در خطوط كامپيوتري، براي كامپيوترهاي آسيب پذيرتر مشكل ايجاد ميكند. چند شركت، از جملهContinental Airlines ، خسارت كامپيوتري قابل توجهي را گزارش كرده اند. در اثر حمله اين كرم، كارمندان اين خط هوايي ناگزير شدند براي ثبت اطلاعات مربوط به بليطهاي رزرو شده و بليطهاي الكترونيكي، دوباره از روشهاي قديمي تلفن، قلم و كاغذ استفاده كنند و به علت كند شدن كار، چند مورد تاخير و انحلال پروازهاي داخلي رخ داد .دفتر مركزي اين شركت در شهر نيوآرك در ايالت نيوجرسي، شديدترين آسيبها را ديد .مشكلاتي هم در شهر هيوستن ايالت تكزاس و شهر كليولند ايالت اوهايو بروز كرد .اما طولانيترين تاخيرها بيش از  30 دقيقه طول نكشيد. اين گونه كرمها موجب قطع خدمات توزيعي ميشوند .در اين حالت، كامپيوترهاي آلوده شده توسط اين كرم يا برنامه هاي ديگر، سيلي از اطلاعات را به يك مكان خاص در اينترنت ارسال ميكنند كه اين كار موجب قطع ارتباط آنها با شبكه مي شود . كرم رايانهاي SQL به كرم code red شبيه است كه به سرورهاي IIS2001 حمله كرد و با درج پيام: Welcom to http://www.worm.com! Hacked By Chinese! در صفحات وب به آنها آسيب رساند .كرم Code Red در مجموع به بيش از700 هزار  كامپيوتر آسيب رساند و سرعت انتشار آن به قدري زياد بود كه رديابي منشا آن امكان نداشت .تاكنون در مورد آسيب كرمSQL ، به صفحات وب و فايلهاي ديگر گزارشي دريافت نشده است .رديابي منشا كرم SQL نيز با ابزارهاي فني موجود دشوار خواهد بود .اما خوشبختانه مراكز خدمات اينترنت و ساير سازمانهاي امنيتي به موقع موفق شدند از سرعت انتشار آن بكاهند، و از خسارات سنگين تر جلوگيري كنند.

ويروس Worm-Lovgate.C

ويروس Worm-Lovgate.C از نوع كرمهاي كامپيوتري است و در حال حاضر در اروپا، تايوان، استراليا و ژاپن در حال گسترش است.  اين ويروس كپي خود را براي گسترش در شبكه، درشاخه ها (دايركتوري ها) و زير شاخه هايي كه به صورت مشترك از آن استفاده مي شود، قرار مي دهد. علاوه بر آن حاوي برنامه Backdoorاست كه اين برنامه شبكه مورد حمله قرار گرفته را براي كاربران متخلف - به اصطلاح هكرها - از راه دور باز مي گذارد تا آنها بتوانند به آن كامپيوتر دست يافته و حمله كنند. اين عمل از طريق پورت 10168 انجام مي پذيرد. اين ويروس در عصر حاضر، به خاطر اينكه اقدام به انجام يك تاكتيك مهندسي -اجتماعي مي كند، از خطر فوق العاده اي برخوردار است. نحوه عملكرد اين ويروس به گونه اي است كه به صورت آزاد و مستقل به ايميل هايي كه در صندوق پستي (Inbox) كاربر مورد حمله قرار گرفته وجود دارند، پاسخ مي دهد. پس از آن، اولين ارسال كننده ايميل پاسخي را مي گيرد كه دقيقاً استناد به ايميل شخص فرستنده مي كند، بدين صورت كه گيرنده نامه در قسمت موضوع (Sub) همان Sub خود را كه قبلاً فرستاده بود به صورت Forward دريافت مي كند و در قسمت متن نوشته زير را مي خواند: ”Ill try to reply as soon as possible. Take a look at the attachment and send me your opinion!” (من سعي مي كنم مجدداً آن را براي شما فعال كنم. به پيوست نامه نگاه كنيد و نظرتان را براي من بفرستيد. ) از آنجا كه شخص گيرنده اين روند را عادي تلقي مي كند، به احتمال زياد پيوست ايميل را باز و با اين كار اجازه ورود ويروس Worm-Lovgate.c را عملاً صادر مي كند.  اين ويروس همه جا وجود دارد و به زبان انگليسي نوشته شده است. Worm-Lovgate.c در Windows – Platlform تكثير و گسترش پيدا مي كند و حجمي معادل 78848 بايت دارد. اين كرم مي تواند در كامپيوتر مورد حمله قرار گرفته كپي هايي از خود در دايركتوري Windows/System قرار دهد. اين فايلها ممكن است يكي از مشخصات زير را در برداشته باشند:Repcsrv.exeيا WinPpcsrv.e,Syshelp.exe,Winrpc.exe,Wingate.exe سايت Zdnet اطلاعات جديدي را در مورد ويروسها در اختيار كاربران مي گذارد و قادر است فايلهاي تا حجم 1 گيگا بايت را به صورت Live (همزمان) چك كند.

لاوگيت در حال خزيدن روي اينترنت است

کرم رايانه اي به نام لاوگيت در 3نسخه A و B و C به صورت backdoor روي سرورها و رايانه هاي شخصي متصل به اينترنت افتاده است . ويروس مذکور از مهندسي SMTP سوءاستفاده کرده و مجموعه اي از فايل هاي DLL را از طريق پورت 1192 به صورت backdoor وارد سيستم مي کند و اطلاعات شخصي را به آدرس ايميل hacker117@163.com مي فرستد. سپس با کپي کردن خود نسخه هاي اجرايي متعددي با پسوند exe مانند pic.exe ، Joke.exe و... مي سازد و بر روي فايل هاي به اشتراک گذاشته شده ، خود را مي اندازد. از اسم کاربر مهمان يا ادمين استفاده کرده و با پسوردهاي تصادفي دسترسي به دايرکتوري system32 را مهيا مي سازد و اطلاعات خود را درون پوشه آوري و ذخيره مي سازد.
ظهور يك‎ كرم‎ جديد اينترنتي  بـه‎ نـام LOVAGE.C

يك‎ كرم‎ جديد اينترنتـي‎ بـا قـدرت‎ تخريبي‎ فراوان‎ در اينترنت‎‎ پخش‎ شده‎ است.  كرم جديـدي‎ بـه‎  نـام LOVAGE.C كه‎ در اروپا و آسيـا فعال‎ شده‎‎‎ به شبكه اينتـرنـت‎‎ خسارت وارد كرده‎ است‎ . اين‎‎‎ كرم‎‎ كه‎ جانشين كرم ديگري‎ با همين نام‎ شده‎‎‎ است ‎, با پاسخ‎ دادن‎ به نـامه هـاي‎ الكترونيكي‎ كه‎‎ حـاوي‎‎‎ ضمـيمه اي داراي كـد نامناسب‎ است‎ , تكثيرمي‎ شود. اين‎‎ كرم‎ در ادامه‎ يك‎ پورت‎ پنهان نصب‎ مي‎‎ كند كه‎ امكان‎ دستيابي و تغيير فايلهاي‎ موجود روي‎ سيستـم‎‎ آسيـب‎ ديده‎ را فـراهـم مي‎ آورد.