ويروس W32/Pykse.worm
چيست؟
ويروسی با میزان انتشار کم (Low) که عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند. ايــن ويروس برای اولین بار در آذر ماه سال 1388 مشاهده شد و از آن زمان نمونه های مختلفی از آن منتشر گشته و آخرین نمونه ی این ویروس در بهمن ماه سال جاری (1391) مشاهده شده است. طبق نقشه ی جهانی آلودگی به این ویروس در خاورمیانه پایین بوده و بیشترین میزان آلودگی در روسیه مشاهده شده است.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
– McAfee W32/Pykse.worm!08B1503919F9
– avast Win32:Renos-KY
– AVG (GriSoft) SHeur4.AVOI
– avira TR/Agent.327680.A
– Kaspersky Trojan.Win32.AntiAV.pin
– BitDefender Win32.Worm.SkypeBot.B
– Microsoft Worm:Win32/Pykspa.C
– Symantec W32.Pykspa.D
– Eset a variant of Win32/AutoRun.Agent.TG
– norman Pykse.A
– panda W32/SpySkype.E
– Sophos W32/Pykse-F
انتشار
ويروس W32/Pykse.worm مانند سایر کرم ها از روشهای متعددی برای انتشار استفاده می کند.
– از طریق دیسک های USB قابل حمل (Flash Disk) و cd های قابل نوشتن (Writable)
– در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.
خرابکاری
ويروس W32/Pykse.worm به محض مقيم شدن در حافظه با تغییر مدخل زیر در محضرخانه ی سیستم، دسترسی به Task Manager را غیرفعال می کند.
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DISABLETASKMGR = 1
به محض اجرا شدن این ویروس، در مسيرهای زير فايلهای مخرب کپی می شوند:
– %WINDIR%\SYSTEM32\phqfsisjbhemrjafxlfcjbkzmcmdvbyglduz.fzw
– %TEMP%\lvwdiq.exe
– %WINDIR%\SYSTEM32\krptvazfmhtqkrxrybkwszxbd.hnu
– %TEMP%\phqfsisjbhemrjafxlfcjbkzmcmdvbyglduz.fzw
– %WINDIR%\phqfsisjbhemrjafxlfcjbkzmcmdvbyglduz.fzw
– %PROGRAMFILES%\krptvazfmhtqkrxrybkwszxbd.hnu
– %PROGRAMFILES%\phqfsisjbhemrjafxlfcjbkzmcmdvbyglduz.fzw
– %USERPROFILE%\Local Settings\Application Data\krptvazfmhtqkr xrybkwszxbd.hnu
– %USERPROFILE%\Local Settings\Application Data\phqfsisjbhemrjafxlfcj bkzmcmdvbyglduz.fzw
– %WINDIR%\krptvazfmhtqkrxrybkwszxbd.hnu
– %TEMP%\krptvazfmhtqkrxrybkwszxbd.hnu
فایل های زیر نیز به طور موقت در سیستم کپی شده و بعدا توسط ویروس حذف می شوند:
– %TEMP%\lvwdiq\yjltzil\Users text file.txt
– %TEMP%\lvwdiq\yjltzil\Users Word Document.doc
– %TEMP%\lvwdiq\yjltzil\Users Excel Document.xls
همچنین این ویروس تنظیمات پیش فرض مربوط به مرورگر ویندوز (Windows Explorer) را تغییر می دهد و با این کار مانع دیده شدن فایل های مخفی سیستم و پسوند فایل ها می شود. با این کار ممکن است بعضی از فایل های اجرایی به صورت فایل های متنی دیده شوند.
بعضی از مدخل هایی که توسط ویروس برای این کار تغییر می کنند عبارتند از:
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\HIDDEN
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER
همینطور این ویروس در cookie های مرورگر IE تغییر ایجاد می کند.
از دیگر خرابکاری های این ویروس ساختن و یا تغییر سیاست های پیش فرض (policy) سیستم است که ممکن است باعث جلوگیری از اجرای ابزار های معمول سیستمی (مانند Task Manager و Regedit) شود.
همچنین این ویروس با تغییر مدخل ها مربوط به Winlogon در محضرخانه ی سیستم باعث می شود فایل های اجرایی مخرب ویروس با هر بار راه اندازی مجدد دستگاه، اجرا شوند.
از دیگر آسیب های ویروس W32/Pykse.worm تغییر تنظیمات بخش امنیتی ویندوز می باشد که باعث نمایش پیغام های مختلف امنیتی مربوط به دیوار آتش، ضدویروس و بروز رسانی سیستم عامل می شود. این خرابکاری با دستکاری در مدخل زیر صورت می گیرد:
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\SECURITY CENTER\
ویروس W32/Pykse.worm سعی می کند با نشانی های زیر اتصال برقرار نماید:
– 216.178.47.**:80
– 66.80.82.**:80
– 194.19.16.**:80
– 141.101.124.***:80
– 174.122.0.**:80
– 208.48.81.***:80
– hxxp://www.whatismyip.ca/
– 208.80.154.***:80
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازدید سایت های وب ناشناخته و بازکردن پیوست نامه های مشکوک و استفاده از رمزهای عبور قوی، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6999 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
