بررسي عملكرد كرم ILOVEYOU
كرم فوق ، در يك اسكريپت ويژوال بيسيك و بصورت فايلي ضميمه در يك نامه الكترونيكي عرضه مي گردد .همزمان با بازنمودن فايل ضميمه توسط كاربران، زمينه فعال شدن كرم فوق، فراهم خواهد شد . عملكرد اين كرم ، بصورت زير است :
نسخه هائي از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs و LOVE-LETTER-FOR-YOU.vbs تكثير مي نمايد.
نسخه اي از خود را در فولدر ويندوز و با نام Win32DLL.vbs تكثير مي نمايد .
اقدام به تغيير مقادير دو كليد ريجستري زير مي نمايد .كليدهاي فوق، باعث فعال نمودن ( فراخواني ) كرم ، پس از هر بار راه انداري سيستم مي گردند .
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunService\Win32DLL
در ادامه، بررسي مي گردد كه آيا دايركتوري سيستم شامل فايل WinFAT32.exe است؟ در صورت وجود فايل فوق( نشاندهنده ويندوز 95 و 98 )، صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روي سايت www.skyinet.net تبديل مي گردد . فايل فوق از يكي از دايركتوري هاي موجود در سايت فوق با نام angelcat , chu , koichi دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت ( در زمان آتي ) ، صفحه آغاز ، آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ مي گردد . كليد ريجستري صفحه آغاز، در آدرس زير قرار مي گيرد .
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
ما قادر به دستيابي به www.skyinet.net ، بمنظور اخذ يك نسخه از فايل فوق نمي باشيم . با پيگيري انجام شده بر روي اينترنت مشخص شده است كه برنامه فوق ، ممكن است آژانسي بمنظور جمع آوري رمزهاي عبور و ارسال آنها به يك سايت مركزي از طريق پست الكترونيكي باشد .
ILOVEYOU در ادامه بررسي مي نمايد كه آيا ماشين را آلوده كرده است؟ بدين منظور در دايركتوري مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe مي گردد . در صورتيكه فايل فوق پيدا گردد ، كدهاي مخرب ، يك كليد RUN را بمنظور فراخواني WIN-BUGFIX.exe از دايركتوري مربوطه فعال مي نمايند .نشانه گوياي اين كليد ريجستري، بصورت زير است :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINBUGFIX
ILOVEYOU در ادامه ، يك فايل با نام LOVE-LETTER-FOR-YOU.HTM در دايركتوري سيستم ايجاد مي نمايد .فايل Htm ، شامل منطق VBScript بوده كه به نسخه مربوطه vbs ارتباط خواهد داشت .
كدهاي مخرب در ادامه ، از طريق نامه الكترونيكي براي افراديكه در ليست دفترچه آدرس مربوط به كاربر مي باشند،اشاعه و توزيع مي شوند . براي هر شخص موجود در دفترچه آدرس، يك پيام الكترونيكي ايجاد و يك نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه مي گردد. پس ازارسال پيام براي تمام افراد موجود در ليست دفترچه آدرس، ILOVEYOU برروي تمام درايوهاي موجود در كامپيوتر ، عمليات خود را تكرار مي نمايد . درصورتيكه درايو يك درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست هاي موجود در درايو مربوطه ، عمليات جستجو براي يافتن فايل هاي با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامي فايل ها ي با انشعابات فوق، توسط كدهاي مخرب بازنويسي و يك نسخه از كدهاي مخرب در آنها قرار خواهد گرفت .
در صورتيكه فايلي از نوع mp2 و يا mp3 پيدا گردد، يك نسخه از كدهاي مخرب در فايلي با انشعاب vbs ايجاد و در دايركتوري مربوطه مستقر مي گردد . نام فايل به نام دايركتوري بستگي داشته و داراي انشعاب vbs است .
در صورتيكه ILOVEYOU فايلي با نام micr32.exe , mlink.exe mric.ini و يا mirc.hlp را پيدا نمايد، فرض را بر اين خواهد گذاشت كه فهرست مربوطه ، يك دايركتوري شروع IRC)Internet Relay Chat) است وفايلي با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسكريپت فوق، زمانيكه برنامه سرويس گيرنده IRC اجراء گردد، شروع به فعاليت نموده و اقدام به ارسال كدهاي مخرب براي تمام كامپيوترهائي كه با ميزبان آلوده يك ارتباط IRC ايجاد نموده اند ، خواهد كرد .
|
