ويروس W32/Lovgate.g@M
چيست؟
ويروسی با میزان انتشار کم (Low) که البته طی یک ماه گذشته موارد قابل توجهی از آن در ایران دیده شده است. ویروس W32/Lovegate.g@M علاوه برآنکه عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند، نوعی ارسال کننده ی نامه های انبوه الکترونیکی (Mass-Mailing email worm) نیز می باشد. این بدافزار اولین بار در فروردین 1382 مشاهده گردید و گونه های فراوانی از آن هم طی سالهای پس از آن منتشر شد. پس از حدود 5 سال غیبت، گونه جدیدی از آن در بهمن ماه سال گذشته (1390) و آخرین نگارش این ویروس در شهریور ماه سال جاری (1391) مشاهده شده است.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
| W32/Lovgate.g@M | McAfee |
| Worm:Win32/Lovgate.E@mm | Microsoft |
| W32.HLLW.Lovgate.G@mm | Symantec |
| Win32.Lovgate.G@mm | F-secure |
| Email-Worm.Win32.LovGate.f | Kaspersky |
انتشار
این ویروس، از طریق نامه های الکترونیکی و ارسال نسخه ای از خود به صورت جواب برای تمامی نامه های الکترونیکی موجود در صندوق پستی، منتشر می شود. برنامه ی Microsoft Outlook هم بستری مناسب برای انتشار این کرم می باشد. این ویروس مانند سایر کرم ها از روشهای زیر نیز برای انتشار استفاده می کند.
– از طریق دیسک های USB قابل حمل (Flash Disk) و CD های قابل نوشتن (Writable)
– در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.
خرابکاری
این ویروس فایل های آلوده ی زیر را در دستگاه آلوده کپی می کند:
– %WINDIR%\system32\111.dll
– %WINDIR%\system32\IEXPLORE.EXE
– %WINDIR%\system32\ily668.dll
– %WINDIR%\system32\kernel66.dll
– %WINDIR%\system32\RAVMOND.exe
– %WINDIR%\system32\reg678.dll
– %WINDIR%\system32\Task688.dll
– %WINDIR%\system32\WinDriver.exe
– %WINDIR%\system32\WinGate.exe
– %WINDIR%\system32\WinHelp.exe
– %WINDIR%\system32\winrpc.exe
با آلوده شدن سیستم به این کرم، نسخه ای از آن به صورت جواب برای نشانی تمامی نامه های الکترونیکی که درون نامه های رسیده (Inbox) موجود هستند، ارسال می شود. این روش برای ارسال انبوه نامه ها (یعنی کمک گرفتن از نرم افزارهای دیگر مانند Outlook) مدتهاست که توسط ویروس های جدید استفاده نمی گردد و همین موضوع قدیمی بودن ویروس را نشان می دهد! ویروسهای ارسال انبوه امروزی بخش مجزایی برای ارسال نامه دارند که SMTP Engine نامیده می شود. تصویر زیر هشداری است که نرم افزارMicrosoft Outlook در هنگام اقدام ویروس برای ارسال نامه نشان می دهد:
همچنین نمونه هایی از نامه های ارسالی توسط ویروس در شکل زیر نشان داده شده است:
با تغییر و اضافه نمودن مدخل های زیر در محضرخانه ی سیستم قربانی، با هر بار راه اندازی مجدد سیستم، این ویروس نیز بارگزاری و اجرا می شود:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run
• “WinHelp”=”%Windir%\\system32 \\WinHelp.exe”
• “WinGate initialize”=”%Windir%\\system32 \\WinGate.exe -remoteshell”
• “Remote Procedure Call Locator”=”RUNDLL32.EXE reg678.dll ondll_reg”
• “Program In Windows”=”%Windir%\\system32 \\IEXPLORE.EXE”
HKEY_USERS\S-1-5-21-[Varies]\Software\Microsoft\WindowsNT \CurrentVersion\Windows\run: “RAVMOND.exe”
از دیگر آسیب های این ویروس این است که با تغییر مدخل های زیر هر زمان که کاربر یک فایل متنی (Text) را اجرا نماید، ویروس نیز اجرا خواهد شد.
– HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell \open\command\:”%SystemRoot%\system32\NOTEPAD.EXE %1″
– HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell \open\command\: winrpc.exe %1
پيشگيری
استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها (یا حتی اشتراک گذاشتن غیرضروری شاخه ها) از نکات اوليه برای پيشگیری در مقابل کرمها می باشد. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6823 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
