ويروس W32FunCash!worm

[wptabs style=”wpui-red” mode=”horizontal”]

[wptabtitle] چیست؟[/wptabtitle]
[wptabcontent]ويروسی با میزان انتشار کم (Low) که عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند. این ویروس برای اولین بار در مرداد ماه سال جاری (1391) مشاهده شده است. مطابق نقشه ی جهانی درجه ی خطر این ویروس در حال حاضر در خاورمیانه پایین بوده و بیشترین انتشار این ویروس در کشور هند بوده است.[/wptabcontent]

[wptabtitle] نامگذاری[/wptabtitle]
[wptabcontent]

اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

McAfee W32/FunCash!worm
Microsoft Backdoor: Win32/Joanap.A
Kaspersky Worm.Win32.Agent.age
Symantec Backdoor.Trojan
Fortinet W32/Agent.AGE! Worm

[/wptabcontent]

[wptabtitle] انتشار[/wptabtitle]
[wptabcontent]

این ویروس، مانند سایر کرم ها از روشهای متعددی برای انتشار استفاده می کند.

– از طریق دیسک های USB قابل حمل (Flash Disk) و CD های قابل نوشتن (Writable)
– در محیط شبکه های محلی (LAN) نیز بر روی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.

[/wptabcontent]

[wptabtitle] خرابکاری[/wptabtitle]
[wptabcontent]

با آلوده شدن سیستم به ویروس W32/FunCash!worm دو فایل مخرب DLL در پوشه ی System32 سیستم اضافه می شود که ممکن است برای دریافت اسبهای تروا و یا دیگر بد افزار ها از سایت های مخرب مورد استفاده قرار گیرد:

%windir%\system32\scardprv.dll
%windir%\system32\Wmmvsvc.dll

علاوه بر این با اجرای ویروس، فایل های مخرب زیر در مسیر های ذکر شده در دستگاه آلوده قرار داده می شوند:

%windir%\system32\config\systemprofile\Local Settings\Application Data\VMware\hgfs.dat
%windir%\system32\KB25879.dat
%windir%\system32\mssscardprv.ax
[Removable Drive]:\RECYCLER\ S-0-3-61-3331176502-7725285861-041708554-4464\[Random Name].cpl
[Removable Drive]:\Autorun.inf

فایل میانبری (Shortcut) بنام زیر هم در دستگاه ساخته می شود که با کلیک برروی آن کاربر به بخش control panel دستگاه می رود.

Copy of Shortcut (1).lnk

همچنین فایلی بنام Autorun.inf (که در بالا به آن اشاره شده است) در حافظه های قابل حمل متصل به سیستم اضافه می شود و به فایل اجرایی ویروس اشاره می نماید. هر حافظه ای که قابلیت خود اجرایی بر روی آن فعال باشد، در صورتی که به سیستم آلوده وصل شود آلوده شده و باعث اجرای ویروس می شود. محتویات این فایل خود اجرا (Autorun) در حافظه های قابل حمل به صورت زیر می باشد:

[Autorun]
RmN

همچنین پوشه های زیر در حافظه ی قابل حمل متصل به سیستم آلوده ساخته می شود:

[Removable Drive]:\RECYCLER
[Removable Drive]:\RECYCLER\S-0-3-61-3331176502-7725285861-041708554-4464\

لازم به ذکر می باشد که ویروس W32/FunCash!worm با تزریق خود در پروسه ی سیستمی Svchost.exe تلاش می کند از طریق پورت های زیر با نشانی های IP زیر ارتباط برقرار نماید:

63.149.[Removed].98 through the remote port 110. (POP3 – Post Office Protocol – Version 3)
64.71.[Removed].61 through the remote port 700.

از دیگر آسیب های ویروس W32/FunCash!worm تغییر و ساختن مدخل هایی در محضرخانه ی سیستم آلوده می باشد. بعضی از این تغییرات جهت اطمینان از اجرای مجدد ویروس در صورت راه اندازی دوباره ی سیستم می باشد که این مدخل ها در زیر آمده اند:

– HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\
ImagePath = “%SystemRoot%\system32\svchost.exe -k Wmmvsvc”
– HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\
ImagePath = “%SystemRoot%\system32\svchost.exe -k SCardPrv”

از دیگر خرابکاری های این ویروس می توان به دزدی اطلاعات شخصی کاربران و اطلاعات مالی با استفاده از قابلیت های در پشتی (Backdoor) اشاره نمود.

[/wptabcontent]

[wptabtitle] پیشگیری[/wptabtitle]
[wptabcontent]

به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6784 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.

[/wptabcontent]

[/wptabs]