بررسی عملکرد کرم ILOVEYOU 
کرم فوق ، در يک اسکريپت ويژوال بيسيک و بصورت فايلی ضميمه در يک نامه الکترونيکی عرضه می گردد .همزمان با بازنمودن فايل ضميمه توسط کاربران، زمينه  فعال شدن کرم فوق،  فراهم خواهد شد . عملکرد اين کرم ،  بصورت زير است :

• نسخه هائی از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs  و LOVE-LETTER-FOR-YOU.vbs  تکثير می نمايد.

• نسخه ای از خود را در فولدر ويندوز و با نام Win32DLL.vbs تکثير می نمايد .

• اقدام به تغيير مقادير دو کليد  ريجستری زير می نمايد .کليدهای فوق،  باعث فعال نمودن ( فراخوانی ) کرم ،  پس از هر بار راه انداری سيستم می گردند .

• در ادامه،  بررسی می گردد که آيا دايرکتوری سيستم شامل فايل WinFAT32.exe است؟  در صورت وجود فايل  فوق( نشاندهنده ويندوز 95 و 98 )،  صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روی سايت www.skyinet.net  تبديل می گردد . فايل فوق از يکی از دايرکتوری های موجود در سايت فوق با نام angelcat , chu  , koichi  دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت  ( در زمان آتی ) ، صفحه آغاز ،  آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ  می گردد . کليد ريجستری صفحه آغاز،  در آدرس زير قرار می گيرد .

  HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page

  ما قادر به دستيابی به www.skyinet.net ، بمنظور اخذ يک نسخه از فايل فوق نمی باشيم . با پيگيری  انجام شده بر  روی اينترنت مشخص شده است  که  برنامه فوق ،  ممکن است آژانسی بمنظور جمع آوری رمزهای عبور و ارسال آنها به يک سايت مرکزی از طريق پست الکترونيکی باشد .

• ILOVEYOU در ادامه بررسی می نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوری مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe می گردد . در صورتيکه فايل فوق پيدا گردد ، کدهای مخرب ، يک کليد RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دايرکتوری مربوطه فعال می نمايند .نشانه گويای اين کليد ريجستری، بصورت زير است :

• ILOVEYOU در ادامه ، يک فايل با نام  LOVE-LETTER-FOR-YOU.HTM  در دايرکتوری سيستم ايجاد می نمايد .فايل Htm ،  شامل منطق VBScript  بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .

• کدهای مخرب در ادامه ، از طريق نامه الکترونيکی برای افراديکه در ليست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزيع  می شوند . برای هر شخص موجود در دفترچه آدرس،  يک پيام الکترونيکی ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه می گردد. پس ازارسال پيام برای تمام افراد موجود در ليست دفترچه آدرس،   ILOVEYOU  برروی تمام درايوهای موجود در کامپيوتر ، عمليات خود را تکرار می نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست های موجود در درايو مربوطه ، عمليات جستجو برای يافتن  فايل های با انشعاب vbs , vbe  , sct , hta jpg , jpeg .  انجام خواهد شد . تمامی فايل ها ی با انشعابات  فوق،  توسط کدهای مخرب بازنويسی و يک نسخه از کدهای مخرب در آنها قرار خواهد گرفت .

• در صورتيکه  فايلی از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهای مخرب در فايلی با انشعاب vbs ايجاد و در دايرکتوری  مربوطه مستقر می گردد . نام فايل به نام دايرکتوری بستگی داشته و دارای انشعاب vbs است .

• در صورتيکه  ILOVEYOU  فايلی با نام micr32.exe , mlink.exe mric.ini  و يا mirc.hlp را پيدا نمايد،  فرض را بر اين خواهد گذاشت که فهرست مربوطه ،  يک دايرکتوری شروع IRC)Internet Relay Chat) است وفايلی با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه  برنامه سرويس گيرنده IRC اجراء گردد،  شروع به فعاليت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپيوترهائی که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: