پرش به محتوا

ويروس W32.Novarg.A@mm

  • دسته‌بندی نشده

اين ويروس كه از نوع كرم مي باشد از طريق شبكه تبادل فايل Kazaa و ضميمه نامه هاي الكترونيكي آغاز به گسترش كرده است.
اين كرم به صورت ضميمه براي نامه هاي الكترونيكي در قالب يك فايل به حجم 22528 بايت و با نام تصادفي و يكي از پسوندهاي .bat .cmd .exe .pif .scr .zip پخش مي شود.

اين كرم تحت نام هاي زير هم پخش مي شود :

Novarg (F-Secure), W32.Novarg.A@mm (Symantec), Win32/Shimg (CA), WORM_MIMAIL.R (Trend)

سيستم هايي كه از اين كرم آسيب پذير خواهند بود شامل موارد زير مي شود :

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

بعد از فعال شدن اين كرم :

  • تغييراتي در ريجستري ويندوز براي آغاز به كار ويروس انجام مي شود.
  • يك پورت از نوع TCP بر روي بازه بين 3127 تا 3198 براي آغاز حملات خود آماده مي كند.
  • يك نسخه از خود را در شاخه C:\Program Files\KaZaA\My Shared Folder\ folder كپي مي كند تا كاربران كازا را تحت تاثير قرار دهد.

 

اين كرم با استفاده از SHIMGAPI.DLL در شاخه system32 دسترسي را براي حمله كننده ها فراهم مي كند.كرم طوري برنامه ريزي شده است كه از اول فوريه يك حمله DoS را بر روي وب سايت شركت sco آغاز ميكند.
فعاليت اين كرم طوري برنامه ريزي شده است كه در تاريخ 12 فوريه متوقف مي شود.
با ايجاد بك دور –  backdoor- بر روي سيستم حمله كننده ها توانايي اجراي فايل در سيستم هاي قرباني را خواهند داشت.

 

امكان دارد نامه هايي كه شامل اين ويروس مي شوند دربرگيرنده موارد زير باشند :

Subject: <random>
From: <spoofed>
To: <email address>

Body:
(The body has been reported to contain one of the following three messages.)

“The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.”

“The message contains Unicode characters and has been sent as a binary attachment.”

“Mail transaction failed. Partial message is available.”

 

براي پاك كردن اين كرم و يا گشتن به دنبال آن بر روي سيستم خود مي توانيد از ابزاري كه شركت Symantec فراهم كرده است استفاده كنيد ، براي استفاده از آن :

 

  1. ابتدا فايل FxNovarg.exe را از پايگاه Symantec دانلود كنيد و ذخيره كنيد:

http://securityresponse.symantec.com/avcenter/FxNovarg.exe

  1. اگر از ويندوز XP يا Me استفاده مي كنيد بايد System Restore را غير فعال كنيد.
  2. قبل از اجراي برنامه تمام برنامه ها را ببنديد و اگر به اينترنت يا شبكه متصل هستيد ارتباط خود را قطع كنيد.
  3. حالا FxNovarg.exe را اجرا كنيد و با كليك بر روي Start برنامه آغاز به گشتن و پاك سازي سيستم شما مي كند.
  4. بعد از اتمام كار كامپيوتر خود را ريست كنيد و بعد از ريست براي اطمينان دوباره برنامه را اجرا كنيد.
  5. در صورت استفاده از ويندوز XP يا Me حالا System Restore را فعال كنيد.

دستورالعمل كامل كاركرد اين ابزار را مي‌توانيد از پايگاه Symantec مطاله كنيد :

W32.Novarg.A@mm Removal Tool

 

ابزار هاي ديگري هم براي پاك كردن و شناسايي اين كرم منتشر شده است ،مانند :

The Mydoom removal
Removal Instructions from McAfee

در صفحه هاي زير شما ميتوانيد اطلاعات كامل تري را درباره اين ويروس پيدا كنيد :

CERT® Incident Note IN-2004-01

http://www.sarc.com/avcenter/venc/data/[email protected]

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

http://us.mcafee.com/virusInfo/default.asp?id=mydoom

http://www.f-secure.com/v-descs/novarg.shtml

http://www.sophos.com/virusinfo/analyses/w32mydooma.html

http://www3.ca.com/virusinfo/virus.aspx?ID=38102

 

برچسب‌ها:

دیدگاه‌ها بسته شده‌اند.