بمنظور بررسی نقاط آسيب پذير و نحوه انتشار ويروس های کامپيوتری با استفاده از کدهای مخرب ،عملکرد سه ويروس را مورد بررسی قرار می دهيم . هدف از بررسی فوق استفاده از تجارب موجود و اتخاذ راهکارهای مناسب بمنظور پيشگيری از موارد مشابه است .آناليز دقيق رفتار هر يک از ويروس ها و نحوه مقابله و يا آسيب زدائی آنان از حوصله اين مقاله خارج بوده و هدف ، صرفا" نشان دادن تاثير نقاط آسيب پذير در يک تهاچم اطلاعاتی بمنظور تخريب اطلاعات و منابع موجود در يک شبکه کامپيوتری ( اينترانت ، اينترنت ) و نقش کاربران در اين زمينه است .

بررسی عملکرد کرم ILOVEYOU

کرم فوق ، در يک اسکريپت ويژوال بيسيک و بصورت فايلی ضميمه در يک نامه الکترونيکی عرضه می گردد .همزمان با بازنمودن فايل ضميمه توسط کاربران، زمينه فعال شدن کرم فوق، فراهم خواهد شد . عملکرد اين کرم ، بصورت زير است :
• نسخه هائی از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs و LOVE-LETTER-FOR-YOU.vbs تکثير می نمايد.
• نسخه ای از خود را در فولدر ويندوز و با نام Win32DLL.vbs تکثير می نمايد .
• اقدام به تغيير مقادير دو کليد ريجستری زير می نمايد .کليدهای فوق، باعث فعال نمودن ( فراخوانی ) کرم ، پس از هر بار راه انداری سيستم می گردند .

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunService\Win32DLL

• در ادامه، بررسی می گردد که آيا دايرکتوری سيستم شامل فايل WinFAT32.exe است؟ در صورت وجود فايل فوق( نشاندهنده ويندوز 95 و 98 )، صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روی سايت www.skyinet.net تبديل می گردد . فايل فوق از يکی از دايرکتوری های موجود در سايت فوق با نام angelcat , chu , koichi دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت ( در زمان آتی ) ، صفحه آغاز ، آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ می گردد . کليد ريجستری صفحه آغاز، در آدرس زير قرار می گيرد .

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

• ما قادر به دستيابی به www.skyinet.net ، بمنظور اخذ يک نسخه از فايل فوق نمی باشيم . با پيگيری انجام شده بر روی اينترنت مشخص شده است که برنامه فوق ، ممکن است آژانسی بمنظور جمع آوری رمزهای عبور و ارسال آنها به يک سايت مرکزی از طريق پست الکترونيکی باشد .
• ILOVEYOU در ادامه بررسی می نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوری مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe می گردد . در صورتيکه فايل فوق پيدا گردد ، کدهای مخرب ، يک کليد RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دايرکتوری مربوطه فعال می نمايند .نشانه گويای اين کليد ريجستری، بصورت زير است :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINBUGFIX

• ILOVEYOU در ادامه ، يک فايل با نام LOVE-LETTER-FOR-YOU.HTM در دايرکتوری سيستم ايجاد می نمايد .فايل Htm ، شامل منطق VBScript بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
• کدهای مخرب در ادامه ، از طريق نامه الکترونيکی برای افراديکه در ليست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزيع می شوند . برای هر شخص موجود در دفترچه آدرس، يک پيام الکترونيکی ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه می گردد. پس ازارسال پيام برای تمام افراد موجود در ليست دفترچه آدرس، ILOVEYOU برروی تمام درايوهای موجود در کامپيوتر ، عمليات خود را تکرار می نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست های موجود در درايو مربوطه ، عمليات جستجو برای يافتن فايل های با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامی فايل ها ی با انشعابات فوق، توسط کدهای مخرب بازنويسی و يک نسخه از کدهای مخرب در آنها قرار خواهد گرفت .
• در صورتيکه فايلی از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهای مخرب در فايلی با انشعاب vbs ايجاد و در دايرکتوری مربوطه مستقر می گردد . نام فايل به نام دايرکتوری بستگی داشته و دارای انشعاب vbs است .
• در صورتيکه ILOVEYOU فايلی با نام micr32.exe , mlink.exe mric.ini و يا mirc.hlp را پيدا نمايد، فرض را بر اين خواهد گذاشت که فهرست مربوطه ، يک دايرکتوری شروع IRC)Internet Relay Chat) است وفايلی با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه برنامه سرويس گيرنده IRC اجراء گردد، شروع به فعاليت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپيوترهائی که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .

بررسی عملکرد ويروس Melissa

Melissa يک ويروس در ارتباط با فايل های Word97 و Word2000 بوده که امکان توزيع آن توسط برنامه Microsoft Outlook فراهم می گردد . ويروس فوق، نسخه هائی از خود را با سرعت بسيار زياد برای کاربران توزيع می نمايد . نحوه انتشار و گسترش ويروس فوق ، مشابه بروز يک حريق بزرگ در سيستم های پست الکترونيکی در يک سازمان و اينترنت بوده که آسيب های فراوانی را بدنبال خواهد داشت . اين ويروس با نام Mellissa ويا W97M/Melissa (نام کلاسی که شامل ماکرو ويروس است) ناميده می شود. ويروس فوق، با استفاده از VBA)Visual Basic for Application) سندهای ايجاد شده توسط Microsoft word را آلوده می نمايد.( VBA يک زبان مبتنی بر اسکريپت بوده که امکان استفاده از آن در مجموعه برنامه های آفيس وجود دارد). ويروس فوق سه عمليات اساسی را انجام می دهد :
• Word را آلوده و در ادامه تمام سندهای فعال شده word را نيز آلوده و.بدين ترتيب امکان توزيع و گسترش آن فراهم می گردد .
• باعث بروز برخی تغييرات در تنظيمات سيستم بمنظور تسهيل در ماموريت خود ( آلودگی اطلاعات ) می گردد .
• با استفاده از برنامه Microsoft Outlook و در ظاهر يک پيام دوستانه ، نمونه هائی از خود را به مقصد آدرس های متعدد، ارسال می نمايد.
زمانيکه يک فايل Word آلوده به ويروس Melissa فعال می گردد،Melissa به تمپليت سند NORMAL.DOT نيز سرايت می گردد. محل فوق،مکانی است که Word تنظيمات خاص و پيش فرض در ارتباط با ماکروها را ذخيره می نمايد . Melissa ، با تکثير خود درون NORMAL.DOT برنامه نصب شده Word را آلوده و بدين ترتيب هر سند و يا تمپليتی که ايجاد می گردد، ويروس به آن اضافه خواهد شد. بنابراين در موارديکه يک سند فعال و يا غيرفعال می گردد ، زمينه اجرای ويروس فراهم خواهد شد . در صورتيکه کليد ريجستری زيردر کامپيوتری وجود داشته باشد، نشاندهنده آلودگی سيستم به ويروس Melissa است . مقدار کليد ريجستری فوق " by Kwyjibo..." است .

HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa

بررسی عملکرد ويروس BubbleBoy

BubbleBoy يک کرم مبتنی بر اسکريپت در يک نامه الکترونيکی بوده که از نقاط آسيب پذير IE 5.0 استفاده و باعث آسيب سيستم های مبتنی بر ويندوز 98 و 2000 می گردد . کرم فوق بصورت Html در يک پيام الکترونيکی قرار می گيرد. در زمان مشاهده نامه های الکترونيکی با استفاده از برنامه Outlook Expree بصورت حتی پيش نمايش ، زمينه فعال شدن کرم فوق فراهم خواهد شد . در صورتيکه از برنامه Microsoft Outlook استفاده می گردد، پس از فعال شدن( باز شدن ) نامه الکترونيکی، زمينه اجرای آن فراهم خواهد شد .کرم فوق با استفاده از VBScript نوشته شده و پس از فراهم شدن شرايط لازم برای اجراء ، فايلی با نام UPDATW.HTA را در دايرکتوری Startup ويندوز ايجاد می نمايد . فايل فوق تغييرات زير رادر ريجستری سيستم ، انجام خواهد داد :
• تغيير Registered owner به BubbleBoy
• تغيير Registered organization به Vandelay Industries
کرم فوق درادامه اقدام به تکثير خود از طريق يک نامه الکترونيکی به تمام افراد موجود در ليست دفترچه آدرس برنامه Outlook Express می نمايد . علت انتشار و اجرای کرم فوق بدليل وجود نقص امنيتی در تکنولوژی ActiveX ماکروسافت است . اشکال فوق به عناصر scriplet , typelib و Eyedog در ActiveX ، مربوط می گردد . عناصر فوق بعنوان المان های امين و تائيد شده در نظر گرفته شده و اين امکان به آنها داده خواهد شد که کنترل عمليات را بر اساس حقوق کاربران بر روی ماشين مربوطه انجام دهند . ماکروسافت بمنظور مقابله با مشکل فوق اقدام به عرضه يک Patch امنيتی برای برنامه IE نموده است .

خلاصه

همانگونه که حدس زده ايد،وجود نواقص امنيتی در محصولات نرم افزاری يکی از مهمترين دلايل توزيع و گسترش ويروس در شبکه های کامپيوتری است . برنامه های Outlook Express و Microsoft Outlook نمونه هائی در اين زمينه بوده که عموما" از آنها برای دريافت و ارسال نامه های الکترونيکی استفاده می گردد . دستيابی به دفترچه آدرس از طريق کدهای برنامه نويسی و هدايت سيستم بسمت ارسال نامه های الکترونيکی آلوده به مقصد های قانونی ( با توجه به وجود آدرس های معتبر در هر يک از دفترچه های آدرس ) از علل مهم در توزيع و گسترش اين نوع از ويروس های کامپيوتری محسوب می گردد . تعلل يک کاربر در شبکه مبنی بر عدم رعايت موارد ايمنی خصوصا" در رابطه با فعال نمودن و مشاهده نامه های الکترونيکی آلوده ، نه تنها باعث صدمه اطلاعاتی برای کاربر و يا سازمان مربوطه وی می گردد ، بلکه کاربر فوق، خود بعنوان ابزاری ( غير مستقيم ) برای توزيع و گسترش ويروس در شبکه تبديل شده است . امنيت در شبکه های کامپيوتری فرآيندی مستمر است که می بايست توسط تمام کاربران صرفنظر از موقعيت عملياتی و شغلی در يک سازمان رعايت گردد. ما در رابطه با سازمان خود چه تدابيری را انديشيده و کاربران شبکه تا چه ميزان نسبت به عملکرد خود توجيه و تاثيررفتار غير امنيتی خود در تمام شبکه را می دانند ؟ در صورتيکه يکی از مسافران يک پرواز هواپيمائی مسائل ايمنی را در رابطه با پرواز رعايت ننمايد و از اين بابت به ساير مسافران موجود در پرواز صدمه ( جانی ،روحی ، مالی و ... ) وارد گردد ، مقصر کيست ؟ در صورتيکه دامنه صدمات احتمالی ،سازمان ارائه دهنده خدمات پرواز را نيز شامل گردد مقصر کيست ؟ چه کاری می توانستيم انجام دهيم که احتمال بروز چنين مسائلی را کاهش و حتی حذف نمائيم ؟ وجود نقص امنيتی در منابع سخت افزاری و نرم افزاری پرواز نيز در جای خود می تواند شرايط مساعدی را برای صدمات احتمالی فراهم نمايد .
بهرحال عملکرد نادرست کاربران موجود در يک شبکه کامپيوتری ، تاثير مستقيمی بر عملکرد تمام سيستم داشته و لازم است قبل از بروز حوادث ناگوار اطلاعاتی ، تدابير لازم اتخاذ گردد ! . امنيت در يک شبکه کامپيوتری مشابه ايجاد يک تابلوی نقاشی است که نقاشان متعددی برای خلق آن با يکديگر تشريک مساعی می نمايند. در صورتيکه يکی از نقاشان در اين زمينه تعلل ( سهوا" و يا عمدا" ) نمايد، قطعا" اثر هنری خلق شده ( در صورتيکه خلق شود ! ) آنچيزی نخواهد بود که می بايست باشد !