محشر من (کرم کامپیوتری)
محشر من (به انگلیسی: Mydoom) همچنین شناخته شده با نامهای W32.MyDoom@mm، Novarg، Mimail.R و Shimgapi یک کرم کامپیوتری برای سیستم عامل ویندوز است. این کرم اولین بار در ۲۴ ژانویه سال ۲۰۰۴ میلادی دیده شد. Mydoom با پشت سر گذاشتن رکوردهای کرمهای سوبیگ و دوستت دارم تبدیل به سریعترین کرم ایمیلی از نظر سرعت انتشار تا آن موقع شد.
Mydoom ظاهراً به وسیلهٔ هرزه نگارهای ایمیلی به کار گماشته میشدهاست تا ایمیل هرز از طریق کامپیوترهای آلوده ارسال کند. کرم متنی با محتوای "اندی؛ من دارم کارم را انجام می دم، هیچ قصد شخصی ندارم، متاسفم." میباشد که باعث شده بود تا عدهٔ کثیری گمان کنند که خالق Mydoom برای ایجاد آن پول دریافت کردهاست. اندکی بعد چند شرکت امنیتی بیان کردند که به باور آنها کرم نشات گرفته از یک برنامه نویس از روسیه میباشد. خالق واقعی کرم نامشخص است.
حدسهای اولیه دربارهٔ Mydoom این بود که تنها هدف آن ارتکاب یک distributed denial-of-service attack توزیع شده علیه SCO Group بود.
گمان جراید که نشات گرفته از دعاوی خود SCO Group بود این بود که Mydoom به وسیلهٔ یک حمایتکنندهٔ لینوکس یا جنبش باز متن ساخته شده بود به تلافی فعالیتهای بحثبرانگیز و بیانیههای عمومی SCO Group علیه لینوکس. این نظریه به سرعت توسط پژوهش گران امنیت رد شد. از آن زمان این نظر همچنین به وسیله عوامل اجرایی قانون که وظیفهٔ وارسی کردن کرم را داشتند نیز رد شد؛ این عوامل Mydoom را به گروههای تبهکار آنلاین نسبت دادند.
بررسیهای اولیه Mydoom بر این اساس بود که کرم یک نوع متفاوتی از کرم Mimail است به همین جهت نام جایگزین Mimail.R این تلقین را به وجود آورد که اشخاص یکسانی مسئول هر دو کرم میباشند. بررسیهای بعدی کم تر دربارهٔ ارتباط بین این دو کرم قطعیت داشتند.
Mydoom به وسیلهٔ Craig Schmugar، کارمند شرکت امنیتی McAfee و یکی از اولین کاشفهای این کرم نامگزاری شد. Schmugar این اسم را بعد از مشاهدهٔ متن "mydom" درون یک خط کد برنامه انتخاب کرد. او ذکر میکند: "این انتخاب گواهی بر بزرگی کرم خواهد بود. من فکر کردم که وجود کلمهٔ 'doom' در نام کرم میتواند مناسب باشد."
توضیحات فنی
Mydoom اصولاً از طریق ایمیل منتقل میشود، ظاهر شدن به عنوان یک خطای انتقال، با عنوان خطوط پیام شامل "Error", "Mail Delivery System", "Test" یا "Mail Transaction Failed" در زبانهای مختلف شامل انگلیسی و فرانسوی. ایمیل حاوی یک ضمیمه است که اگر اجرا شود ایمیل را به همهٔ آدرسهای یافت شده در فایلهای محلی کاربر مانند address book ارسال میکند. همچنین خود را در پوشهٔ برنامهٔ به اشتراکگذاری نظیر به نظیر KaZaA نیز برای گسترش پخش شدن خود کپی میکند.
Mydoom از هدف قرار دادن آدرس ایمیل دانشگاههای خاصی مانند Rutgers، MIT، Stanford و UC Berkeley و شرکتهایی مانند Microsoft و Symantec خودداری میکند.
نسخهٔ اصلی Mydoom.A دو Payload را حمل میکند:
- یک Backdoor بر روی 3127/tcp برای کنترل از راه دور کامپیوتر نفوذ شده، این همان backdoor ای است که به وسیلهٔ Mimail استفاده میشد.
- یک Denial of service علیه وب سایت شرکت SCO Group، زمانبندی شده برای شروع در تاریخ ۱ فوریه سال ۲۰۰۴ میلادی. تعداد زیادی از آنالیزورهای ویروس شک داشتند که این payload عمل کند. آزمایشهای بعدی نشان داد که فقط در ۲۵٪ سیستمهای آلوده شده عمل میکند.
نسخهٔ دوم، Mydoom.B علاوه بر حمل payloadهای اصلی، دسترسی به وب سایت مایکروسافت و سایتهای آنلاین محبوب آنتی ویروس را به وسیلهٔ تغییر hosts file سد میکرد. همچنین سد کردن ابزارهای حذف ویروس یا بروز رسانیهای نرمافزار آنتی ویروس.
جستارهای وابسته
- http://edition.cnn.com/2004/TECH/internet/01/28/mydoom.spreadwed/
- https://web.archive.org/web/20141008043132/http://www.sptimes.ru/index.php?action_id=2&story_id=12138
- http://abcnews.go.com/Technology/ZDM/story?id=97385
- https://web.archive.org/web/20040204005953/http://information.microsoft.com/security/antivirus/mydoom.asp