کرم اینترنتی

CODERED يك نوع كرم اينترنتي

حال به شرح حال مختصري از خصوصيات يك كرم معروف كه هنوز هم وجود خواب آلوده خود را بر روي هزاران وب سرور افكنده و كارشناسان امنيتي را به تکاپو واداشته است، مي‌پردازيم. راجع به واژه خواب آلود متن زير را مطالعه كنيد.

CODERED يك نوع كرم اينترنتي

مركز تطبيق و هماهنگي Cert در پتيسبورگ كه مركزي براي بررسي اطلاعات سري كامپيوتري است، اذعان مي‌دارد كه ويروس CODERED احتمالاً به درون بيش از 280000 دستگاه متصل به اينترنت كه از سيستم عاملهاي NT4.0 و ويندوز 2000 استفاده مي‌كنند نفوذ كرده است. حال آنكه اين سيستم عاملها ، داراي مزيت محافظتی به وسيلة نرم افزارهاي خطاياب IIS5 و IIS4 می باشند .
هنگامي كه هر دو گونه اين ويروس (نسخه‌هاي 29.A و codered II ) تلاش مي‌كنند تا روي سرورهايي كه به وسيله سرويس‌هاي شاخص نرم افزارهاييكه IIS از لحاظ ضعفهاي عبوري يا مقاومت در برابر ويروسهاي جديد اصلاح نشده‌اند ، نفوذ و منتشر شوند،‌ يكي از دو نسخه قديمي اين ويروس طوري تنظيم شده است كه صفحات اوليه اتصال اينترنتي معروف به Homepage و يا start page مربوط به وب سرور آلوده شده را از حالت طبيعي خارج سازد.
اين ويروس طوري تنظيم شده است كه تا بيستمين روز ماه منتشر مي‌شود ،آنگاه با حالتي كه cert آن را مرحله ويرانگر ناميده است، چنان عمل مي‌كند كه خود سرويس محافظ شخصي را بر عليه آدرس اينترنتي داده شده وادار به خرابكاري مي‌كند. جالب است بدانيد اولين آدرس اينترنتي داده شده به ويروس وب سرور كاخ سفيد بوده است.
به نظر می رسد که این ویروس در آخرين ساعت بيست و هفتيمن روز ماه، بمباران و انتشارهاي خود را متوقف كرده ، وارد مرحله خواب موقتي شده و خود را غير فعال مي‌كند. حال آیا ويروس قدرت اين را دارد كه در اولين روز ماه بعد ، خود را براي فعاليتي دوباره بيدار كند.
يك مركز تحقيقات تخصصي كه در اوهايو ايالات كلمبيا شركتي مشاوره‌اي و فني است، به بررسي و تست ويروس Codered پرداخته و به اين نتيجه رسيده است كه اين مزاحم خواب آلود مي‌تواند دوباره خود را فعال کرده و فرآيند جستجوی ميزبانان جديد را از سر بگيرد.
بررسيها و نتايج به دست آمده نشان مي دهند كه codered براي شروع فعاليت مجدد، فايل مخصوصي را جستجو کرده و تا زمان پيدا كردن آن فايل و ساختن درايو مجازي خاصي به نام تروآ (Trojan) در حالت خواب باقي مي‌ماند.
كارشناسان فني بر اين عقيده‌اند كه اين ويروس مجبور نيست خود را بيدار و فعال كند تا برای سیستمها تحديدی جدي به حساب آید. در حال حاضر سيستم‌هاي آلوده ی بسیاری وجود دارند كه ناخودآگاه براي انتشار و سرايت ويروس به سيستم‌هاي ديگر تلاش مي‌كنند. يكي از كارشناسان SARC يكي از مراكز تحقيقاتي مي‌گويد : از آنجا كه كامپيوترهاي زيادي هستند که ساعتها درست تنظيم نشده ، شاهد انتشار مجدد اين ويروس خواهيم بود. تنها يكي از سيستم‌هاي آلوده، براي انتشار موج جديدي از اختلالات كافي خواهد بود.
محاسبات مركز تطبيق و هماهنگي CERT نشان مي‌دهد كه ويروس Codered 250000 ، سرور ويندوزهايي كه در خلال 9 ساعت اول فعاليت زود هنگام خود، سرور ویندوزهایی که آسیب پذیر بوده اند را آلوده ساخته است. بولتن خبري CERT تخمين مي‌زند كه با شروع فعاليت ويروس از يك ميزبان آلوده، زمان لازم براي آلوده شدن تمام سيستم‌هايي كه عليرغم استفاده از نرم افزارهاي IIS (البته نسخه‌هاي قديمي آن) همچنان آسيب پذير مانده‌اند، كمتر از 18 ساعت است! اين رخدادها، اين سوال را تداعی می کنند كه چه تعداد از كامپيوترهاي آلوده شده قبلي، تاكنون اصلاح و پاكسازي شده‌اند؟ اگرچه سرور كاخ سفيد، هدف اصلي حملات خرابكارانه Codered بوده است،‌ با اين حال اين كرم كينه جو هنوز مشكلات بسیاری را براي ميزبانان به وجود مي‌آورد.
 

آیا این پاسخ به شما کمک کرد؟

 پرینت این مقاله

در همین زمینه

رویکردی عملی به امنیت شبکه لایه بندی شده (۴)

در شماره قبل به دومین لایه که لایه شبکه است، اشاره شد، در این شماره به لایه میزبان به عنوان...

امضای دیجیتالی(4)

فصل سوم نيازمنديهاي ق‍انوني مراجعه با تكنولوژي جديد امضا كردن خلاصه مطلب شناسايي امضاي...

رویکردی عملی به امنیت شبکه لایه بندی شده

امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های کوچک و بزرگ است. تهدیدهای...

نفوذ ویروس در ایمیل

شما صرفا با خواندن يك متن سادة e-mail يا استفاده از netpost ، ويروسي دريافت نخواهيد كرد. بلكه...

امضای دیجیتالی(3)

II. مدل قانون UNCITRAL بعنوان يك ابزار براي هماهنگ سازي قانونها: همانطور كه در مدل قانون...