محشر من (کرم کامپیوتری)

محشر من (به انگلیسی: Mydoom) همچنین شناخته شده با نام‌های W32.MyDoom@mm، Novarg، Mimail.R و Shimgapi یک کرم کامپیوتری برای سیستم عامل ویندوز است. این کرم اولین بار در ۲۴ ژانویه سال ۲۰۰۴ میلادی دیده شد. Mydoom با پشت سر گذاشتن رکوردهای کرم‌های سوبیگ و دوستت دارم تبدیل به سریع‌ترین کرم ایمیلی از نظر سرعت انتشار تا آن موقع شد.

Mydoom ظاهراً به وسیلهٔ هرزه نگارهای ایمیلی به کار گماشته می‌شده‌است تا ایمیل هرز از طریق کامپیوترهای آلوده ارسال کند. کرم متنی با محتوای "اندی؛ من دارم کارم را انجام می دم، هیچ قصد شخصی ندارم، متاسفم." می‌باشد که باعث شده بود تا عدهٔ کثیری گمان کنند که خالق Mydoom برای ایجاد آن پول دریافت کرده‌است. اندکی بعد چند شرکت امنیتی بیان کردند که به باور آن‌ها کرم نشات گرفته از یک برنامه نویس از روسیه می‌باشد. خالق واقعی کرم نامشخص است.

حدس‌های اولیه دربارهٔ Mydoom این بود که تنها هدف آن ارتکاب یک distributed denial-of-service attack توزیع شده علیه SCO Group بود.

گمان جراید که نشات گرفته از دعاوی خود SCO Group بود این بود که Mydoom به وسیلهٔ یک حمایت‌کنندهٔ لینوکس یا جنبش باز متن ساخته شده بود به تلافی فعالیت‌های بحث‌برانگیز و بیانیه‌های عمومی SCO Group علیه لینوکس. این نظریه به سرعت توسط پژوهش گران امنیت رد شد. از آن زمان این نظر همچنین به وسیله عوامل اجرایی قانون که وظیفهٔ وارسی کردن کرم را داشتند نیز رد شد؛ این عوامل Mydoom را به گروه‌های تبهکار آنلاین نسبت دادند.

بررسی‌های اولیه Mydoom بر این اساس بود که کرم یک نوع متفاوتی از کرم Mimail است به همین جهت نام جایگزین Mimail.R این تلقین را به وجود آورد که اشخاص یکسانی مسئول هر دو کرم می‌باشند. بررسی‌های بعدی کم تر دربارهٔ ارتباط بین این دو کرم قطعیت داشتند.

Mydoom به وسیلهٔ Craig Schmugar، کارمند شرکت امنیتی McAfee و یکی از اولین کاشف‌های این کرم نام‌گزاری شد. Schmugar این اسم را بعد از مشاهدهٔ متن "mydom" درون یک خط کد برنامه انتخاب کرد. او ذکر می‌کند: "این انتخاب گواهی بر بزرگی کرم خواهد بود. من فکر کردم که وجود کلمهٔ 'doom' در نام کرم می‌تواند مناسب باشد."

توضیحات فنی

Mydoom اصولاً از طریق ایمیل منتقل می‌شود، ظاهر شدن به عنوان یک خطای انتقال، با عنوان خطوط پیام شامل "Error", "Mail Delivery System", "Test" یا "Mail Transaction Failed" در زبان‌های مختلف شامل انگلیسی و فرانسوی. ایمیل حاوی یک ضمیمه است که اگر اجرا شود ایمیل را به همهٔ آدرس‌های یافت شده در فایل‌های محلی کاربر مانند address book ارسال می‌کند. همچنین خود را در پوشهٔ برنامهٔ به اشتراک‌گذاری نظیر به نظیر KaZaA نیز برای گسترش پخش شدن خود کپی می‌کند.

Mydoom از هدف قرار دادن آدرس ایمیل دانشگاه‌های خاصی مانند Rutgers، MIT، Stanford و UC Berkeley و شرکت‌هایی مانند Microsoft و Symantec خودداری می‌کند.

نسخهٔ اصلی Mydoom.A دو Payload را حمل می‌کند:

  • یک Backdoor بر روی 3127/tcp برای کنترل از راه دور کامپیوتر نفوذ شده، این همان backdoor ای است که به وسیلهٔ Mimail استفاده می‌شد.
  • یک Denial of service علیه وب سایت شرکت SCO Group، زمان‌بندی شده برای شروع در تاریخ ۱ فوریه سال ۲۰۰۴ میلادی. تعداد زیادی از آنالیزورهای ویروس شک داشتند که این payload عمل کند. آزمایش‌های بعدی نشان داد که فقط در ۲۵٪ سیستم‌های آلوده شده عمل می‌کند.

نسخهٔ دوم، Mydoom.B علاوه بر حمل payloadهای اصلی، دسترسی به وب سایت مایکروسافت و سایت‌های آنلاین محبوب آنتی ویروس را به وسیلهٔ تغییر hosts file سد می‌کرد. همچنین سد کردن ابزارهای حذف ویروس یا بروز رسانی‌های نرم‌افزار آنتی ویروس.

جستارهای وابسته

منابع

    This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.