یه فایل 2 کیلوبایتی که 200,000 بیت‌کوین دزدید + لینک دانلود فایل

فایل اینجاست (اول ببین بعد بخون)

بله درست خوندی.

فایل اصلی بدافزاری که توی این مقاله دربارهش حرف میزنیم، همین پایین برای دانلود گذاشتم.

لینک دانلود فایل /strong>
[ ILOVEYOU.vbs ]
(حجم: 2.3 کیلوبایت)

⚠️ فقط برای تحلیل. فقط در محیط مجازی . به هیچ عنوان اجرا نکن.

این فایل چیه؟ فقط 2 کیلوبایت

اسمشه: LOVE-LETTER-FOR-YOU.TXT.vbs

سال 2000 منتشر شد.

حجمش: 2 کیلوبایت.

همین.

بعد از چند هفته، 50 میلیون کامپیوتر رو آلوده کرده بود.

پنتاگون؟ آلوده شد.
سیا؟ آلوده شد.
ناسا؟ آلوده شد.
فورد، پارلمان بریتانیا، حتی شرکتهای برق آلمان؟ همه آلوده شدن.

برآورد خسارت: بین 5.5 تا 15 میلیارد دلار.

اون موقع بیتکوین نبود، ولی اگه امروز همین کار رو بکنه با 200,000 بیتکوین؟ راحت.

کدش چند خطه؟ 435 خط ساده

نه رمزنگاری داره. نه فشردهسازی. نه obfuscation.

435 خط کد VBScript ساده.

هر کسی یه کم بلد باشه میتونه بخونش و بفهمه چیکار میکنه.

و این دقیقاً ترسناکترین بخش ماجراست.

چطور 200,000 بیتکوین دزدید؟

بیا خط به خط ببینیم چیکار میکرد:

قدم ۱ - خودش رو کپی میکنه

c.Copy(dirsystem & "\MSKernel32.vbs")
c.Copy(dirwin & "\Win32DLL.vbs")
c.Copy(dirsystem & "\LOVE-LETTER-FOR-YOU.TXT.vbs")

میره توی C:\Windows\ و C:\Windows\System32\ خودش رو کپی میکنه.

قدم ۲ - خودش رو توی رجیستری ثبت میکنه

regcreate "HKEY_LOCAL_MACHINE\...\Run\MSKernel32",dirsystem & "\MSKernel32.vbs"

یعنی هر دفعه ویندوز روشن بشه، این فایل اجرا میشه.

قدم ۳ - ایمیل میزنه به همه

male.Subject = "ILOVEYOU"
male.Body = "kindly check the attached LOVELETTER coming from me."
male.Attachments.Add(...)

چطور؟ از Outlook استفاده میکنه. همه مخاطبینتو میخونه. به همه ایمیل میزنه. با عنوان عاشقانه. با بدنه مؤدبانه. با فایل ضمیمه.

قدم ۴ - فایلهات رو نابود میکنه

if (ext="mp3") or (ext="jpg") or (ext="jpeg") then ...

همه فایلهای MP3 و JPG و JPEG رو پیدا میکنه. محتویاتشون رو پاک میکنه. به جاش کد خودش رو مینویسه.

میدونی یعنی چی؟ یعنی یه آلبوم عکس عروسیت تبدیل میشه به یه فایل VBS. یه آهنگ خاطرهانگیزت تبدیل میشه به بدافزار.

بخش ۵: خط اول کد: «از مدرسه متنفرم»

بذار خط اول کد رو نشونت بدم:

rem barok -loveletter(vbe) <i hate go to school>
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

نویسنده کی بوده؟ یه دانشجو به اسم Onel de Guzman تو مانیل فیلیپین.

پروپوزالش تو دانشگاه رد شده بود. ایدهش این بود که پسوردهای دایلآپ اینترنتی رو بدزده.

همون ایده رو تبدیل کرد به کد. با 435 خط.

و چون فیلیپین اون موقع قانون جرایم سایبری نداشت، هیچ اتفاقی براش نیفتاد.

چطور کار میکرد؟ قدم به قدم

بیا یه سناریو تصور کن:

۱. یه ایمیل میرسه با عنوان ILOVEYOU.
۲. یه فایل ضمیمه داره: LOVE-LETTER-FOR-YOU.TXT.vbs.
۳. فکر میکنی یه نامه عاشقانهست. دوبار کلیک میکنی.
۴. هیچ اتفاقی نمیبینی. چون کد توی background اجرا میشه.
۵. تا چند دقیقه بعد، به همه مخاطبین تو هم همین ایمیل میره.
۶. چند ساعت بعد میخوای آهنگ گوش کنی. فایل MP3ت باز نمیشه.
۷. میری توی پوشه عکسهات. همه JPGها خرابن.
۸. دیگه دیره.

این مکانیزم پخش، هیچ دخالت اضافهای از کاربر نمیخواست. فقط یه کلیک.

چرا انقدر موفق شد؟

دلیل اول: اعتماد
عنوان ILOVEYOU رو که دیدی، کنجکاو میشی. ایمیل عاشقانه که از طرف کسی میاد که نمیشناسی؟ بازم کنجکاو میشی.

دلیل دوم: سادگی
هیچ آنتیویروسی اون موقع این کد رو نمیشناخت. چون هیچ امضایی ازش نداشتن.

دلیل سوم: سرعت پخش
یه نفر آلوده میشد. بعد چند دقیقه، ۲۰۰ نفر دیگه. اون ۲۰۰ نفر، ۴۰,۰۰۰ نفر. رشد هولناک.

بخش ۸: اگه امروز منتشر بشه چی؟

امروز؟

• Gmail اکثر این ایمیلها رو قبل از رسیدن به تو فیلتر میکنه.

• آنتیویروسها این فایل رو با هشش میشناسن.

• ویندوز مدرن اجرای فایلهای VBS از ایمیل رو محدود میکنه.

ولی اگه همین ایده با تکنولوژی امروز اجرا بشه؟
با یه فایل که رمزنگاری شده باشه. با یه ایمیل که هوشمندانهتر طراحی شده باشه. با یه روش پخش که از سرویسهای ابری استفاده کنه.

اون وقت حرف دیگهست.

نتیجهگیری: ترس از بدافزار بزرگ تموم شد؟

پیچیدهترین بدافزارها همیشه خطرناکترین نیستن.

سادهترینها هم میتونن دنیا رو لرزونن.

این فایل 2 کیلوبایتی بهمون یادآوری میکنه که امنیت فقط تکنیک نیست. امنیت، روانشناسیه. اعتماده. کنجکاویه. سادهلوحیِ آدمهاست. و این بدافزار قلب انسان رو نشونه گرفته بود یعنی ساده لوح ترین چیز برای هک شدن

اون دانشجوی فیلیپینی هیچ اکسپلویتی ننوشت. هیچ رمزنگاریای نذاشت. هیچ سیستمی رو هک نکرد.

فقط از سادهترین چیز استفاده کرد: کلیک کردن تو.

این مقاله رو توی خونه نوشتم. اما نه با اینترنت عادی. چون الان ۱۱ هفتهست ایران در طولانیترین خاموشی اینترنت تاریخ قرار داره .

اون بدافزار 2 کیلوبایتی که توی این مقاله تحلیل کردیم، نتونست اینترنت دنیا را قطع کنه. ولی اینترنت ایران بدون هیچ بدافزاری، فقط با یه تصمیم، برای ۹۰ میلیون نفر قطع شد .

جالبتر اینکه بعضیها میتونن با پول بیشتر «اینترنت پرو» بخرن . یعنی اگه پول داشته باشی، میتونی آنلاین باشی. اگه نداشته باشی، نه.

میدونی قشنگترین بخش ماجرا چیه؟ همون بدافزار ILOVEYOU حداقل صادق بود: یه فایل بود، میگفت «من بدافزارم». ولی اینترنت ایران یه سرویس طبقاتی شده که میگه «برای امنیت» ، اما تهش میشه: پول بدی، اینترنت بگیری. پول نداشته باشی، برات متأسفم. ( این خودش یک نوع تحریم داخلی )

ولی بیا برگردیم به اصل ماجرا...

حالا که این حرفا رو زدیم، بریم سراغ همون چیزی که گفتم.

اگه این مقاله برات مفید بود و دوست داری بیشتر از این تحلیلها بنویسم:

• تحلیل فایلهای VBS و exe , dll دیگه (بدافزارهای معروف تاریخ)

• بررسی بدافزارهای امروزی با روش مشابه

• آموزش راهاندازی محیط مجازی برای تست امن

میتونی از طریق دکمه «دونیت» پایین صفحه من رو حمایت کنی.

حتی با ۱۰ هزار تومن بهم انگیزه میدی که:

• زودتر تحلیل بعدی رو منتشر کنم

• فایلهای بیشتری رو همراه با تحلیل بذارم

• به سوالات فنی توی کامنتها دقیقتر جواب بدم

حمایت تو = تحلیل بیشتر + فایل بیشتر

و شاید یه روزی، این تحلیلها به کار کسی بیاد که پشت این اینترنت بسته مونده و میخواد یه راهی برای زنده موندن پیدا کنه.

___________________________________________________________________________________________________________________________________________________دونیت ___________________________________________
__________________________________________________________________________________________________