ويروس W32/Yaz.A
چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. آخرین نمونه ی این اسب تروا در شهریور ماه سال جاری (1391) منتشر شده است. گونه هایی از این ویروس پیش از این (زمستان 1390) منتشر شده بود که علاوه بر اینکه اسب تروا بود، مانند ویروس های سنتی به فایلهای اجرایی (EXE) نیز می چسبید و بنابراین پروسه پاکسازی را پیچیده یا زمان بر می کرد. گونه مزبور در ایران هم مشاهده شد.
در حال حاضر شدت آلودگی به این ویروس در خاورمیانه پایین است و بیشترین آلودگی ها در کشور هند مشاهده شده است.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
| W32/Yaz.A | McAfee |
| (GriSoft) Win32/Patched.HT | AVG |
| TR/YAZ.aumnb | avira |
| Virus.Win32.Yaz.a | Kaspersky |
| Win32.Yaz.A | BitDefender |
| Virus:Win32/Yaz.A | Microsoft |
| Win32/Agent.OVQ virus | Eset |
| W32/Yaz.A | Norman |
| W32/Yaz-A | Sophos |
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس W32/Yaz.A نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
به محض آلودگی سیستم ویروس W32/Yaz.A فایلهای مخرب زیر را در دستگاه قربانی کپی می کند:
– %APPDATA%\pwrwin.exe
– %TEMP%\ctxmon.exe
این ویروس پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آن را در پروسه های سیستمی و هر پروسه ای که پس آز آن در حافظه بارگذاری می شود، تزریق نموده و از این طریق باعث اجرای کد موردنظر شود. به بیان دیگر ویروس W32/Yaz.A تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری مانند Winlogon می باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.
از دیگر خرابکاری های این ویروس تغییر مدخل های زیر در محضرخانه ی سیستم آلوده است که باعث می شود فایل های آلوده ی ctxmon.exe و pwrwin.exe که توسط ویروس در سیستم قرار گرفته اند، با هر بار راه اندازی مجدد سیستم اجرا شوند.
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ATITOOL = %APPDATA%\pwrwin.exe
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\YAZZZ = %TEMP%\ctxmon.exe
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6809 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
