‫ پولسازي Conficker.e

شماره: IRCNE200904131

 

محققان امنيتي عنوان كرده اند كه كرمي كه ميليونها رايانه را در سراسر جهان آلوده كرده است، دوباره با مقاومت بيشتر و براي آلوده سازي رايانه هاي بيشتر برنامه ريزي شده است.

كرم Conficker كه از يك حفره امنيتي در ويندوز بهره مي برد، از طريق اتصالات شبكه، حافظه هاي قابل حمل و رمز عبورهاي ضعيف گسترش پيدا مي كند. قابل توجه است كه مايكروسافت ماه اكتبر سال گذشته اصلاحيه اي را براي آن صادر كرده است. تخمين زده مي شود حداقل 3 ميليون و حداكثر 12 ميليون رايانه در سراسر دنيا توسط نسخه هاي مختلف Conficker آلوده شده باشند. اين مسئله Conficker را به يكي از معضلات امنيتي مهم سالهاي اخير تبديل كرده است.   

نسخه جديدي از اين كرم، روز پنجشنبه 20 فروردين ماه مشاهده شده است كه از طرفي توانايي خود براي انتشار را گسترش داده و از طرف ديگر در برابر ابزارهاي آنتي ويروس مقاوم تر شده است. اين نسخه كه Conficker.e نامگذاري شده است، تعداد وب سايتهاي بيشتري را فيلتر كرده و همچنين امكان اسكن ديگر رايانه ها براي پيدا كردن قربانيان جديدي كه اصلاحيه ويندوز را نصب نكرده اند، دوباره در آن فعال شده است. شايان ذكر است كه در نسخه قبلي اين امكان غير فعال شده بود. اين قضيه نشان مي دهد كنترل كنندگان شبكه رايانه هاي آلوده (botnet) به اين كرم قصد گسترش آن را دارند.

اين نسخه جديد يك ضد هرزنامه را به قربانيان مي فروشد. اين نرم افزار با نام Anti-Spyware 2009 و با قيمت 49.9 دلار فروخته مي شود. كرم مذكور آنقدر پيغامهاي هشدار و تشخيص spyware براي قرباني نشان مي دهد كه كاربر بالاخره خسته شده و براي رهايي از اين پيغامها بدافزار مذكور را كه خاصيتي به جز نصب يك دريافت كننده تروجان ندارد، خريداري مي كند. بنابر اظهارات محققين kaspersky، اين بدافزار به منظور دريافت پول طراحي شده است و اثرات مخربي بر روي رايانه قربانيان يا شبكه ندارد.


كرم Conficker همچنين سعي مي كند تا با وب سايتهاي Myspace.com، MSN.com، eBay.com، CNN.com و AOL.com ارتباط برقرار كرده و به اين ترتيب از وصل بودن اينترنت اطمينان حاصل كند. وي تمام رد پاهاي خود بر روي سيستم هاست را پاك كرده و سپس در روز سوم ماه مي مطابق با چهاردهم ارديبهشت ماه خاموش شده و ديگر خود را به روز رساني نمي كند. اما همچنان امكان كنترل از راه دور رايانه هاي قرباني براي منظور هاي ديگر به قوت خود باقي مي­ماند.

اين نسخه، يك بدافزار شناخته شده از خانواده Waledec را بر روي رايانه قرباني جهت تبديل آن به يك فرستنده هرزنامه، نصب مي كند. هرزنامه هايي كه از رايانه هاي آلوده به Conficker.e ارسال مي شوند، در حقيقت توسط تروجان Waledoc توليد و فرستاده مي شوند. گروه Waledec همان Storm قديمي و معروف است كه در ارسال هرزنامه ها در مناسبتهايي مانند كريسمس يا Valentine شهرت داشت و هرزنامه اي مبني بر انصراف اوباما از رياست جمهوري را نيز منتشر كرده بود.

شبكه رايانه هاي آلوده مي توانند براي فرستادن هرزنامه و حمله به ديگر وب سايتها مورد استفاده قرار بگيرند، ولي براي اين كار نياز به دريافت دستورات جديد دارند. Conficker مي تواند اين كار را از دو طريق به انجام برساند: يكي از طريق اتصال به يك وب سايت و دريافت دستورات از آن و ديگري از طريق دريافت يك فايل توسط يك شبكه رمزنگاري شده P2P. محققان اعلام مي دارند كه احتمالاً رابطه اي بين نويسندگان Conficker و شبكه بدافزارهاي Waledec موجود است يا ممكن است نويسندگان اين كرم، اين شبكه را خريداري كرده باشند.

بنابر تحقيقات IBM ISS، 60 درصد آلودگيها در آسيا اتفاق افتاده است،  18 درصد در اروپا و آمريكاي جنوبي و 4 درصد در آمريكاي شمالي. بيشترين رايانه هاي آلوده مربوط به كشور چين با 16.6 درصد، برزيل با 10.8 درصد، روسيه با 10.2 درصد و كره با 4.6 درصد بوده اند.


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 22 فروردین 1388

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0