ويروس W32/Xpaj
چیست؟
ویروسی با درجه خطر کم که یک ویروس چند ریختی (Polymorphic) است و در دسته ویروس های آلوده کننده ی فایل قرار می گیرد. ویروس W32/Xpaj با استفاده از متدهای مختلفی مانند رمزنگاری خود را داخل فایل آلوده مخفی می سازد. این ویروس می تواند فایل هایی با پسوند exe ،dll ،sys و scr را آلوده سازد که این تغییر باعث افزایش حجم فایل بین 150 تا 280 کیلو بایت می شود. در حال حاضر بیشترین میزان آلودگی به این ویروس در کشور هند بوده است.
این ویروس با نام های زیر توسط ضدویروس های مختلف شناسایی می شود:
W32/Xpaj (McAfee)
W32/Xpaj.c (McAfee)
virus:win32/xpaj.a (Microsoft)
W32.Xpaj (Norton)
انتشار
ویروس W32/Xpaj با استفاده از کپی فایل هایی که آلوده می سازد از یک سیستم به سیستم دیگر انتشار می یابد. این روش در شبکه های اشتراکی به شدت باعث انتشار ویروس می شود. همچنین ویروس با ساختن یک فایل Autorun.inf بر روی حافظه های قابل حمل که به فایل آلوده ی ویروس اشاره می کند از قابلیت خود اجرایی (Autorun) استفاده نموده و خود را منتشر می سازد. آخرین نسخه ی این ویروس با استفاده از سایت های وب اشتراک فایل (ّFile sharing) خود را منتشر می سازد. در واقع اسب تروایی به عنوان سازنده ی کلید (Key Generator) برای برنامه های کاربردی توسط کاربر از صفحات وب دریافت شده و به محض اجرا بر روی سیستم شروع به آلوده ساختن فایل های موجود بر روی سیستم می نماید. یکی از این اسب های تروا نشانکی (Icon) به شکل زیر دارد:
خرابکاری
ویروس W32/Xpaj از نظر سازوکار عملکرد از ویروس های پیچیده ای مانند W32/Virut و W32/Sality نیز پیچیده تر می باشد. در واقع این ویروس با راه اندازی یک ماشین مجازی چند ریختی، از بلوکی از دستورات رمزنگاری شده برای رمزگشایی و اجرای خود استفاده می نماید. این ویروس می تواند فایل هایی با پسوند exe ،dll ،sys و scr همچنین فایل های سیستمی و درایور ها را آلوده سازد. به منظور آلوده نمودن سیستم ویروس ابتدا تمامی درایو های متصل به سیستم را برای یافتن فایل های با پسوند exe ،dll ،sys و scr جستجو می نماید. ویروس فایل ها را به طور مستقیم آلوده نمی سازد بلکه با ساختن فایلی موقت در پوشه ی %TEMP% یک کپی از فایل موردنظر را آلوده ساخته و سپس این فایل آلوده را جایگزین نسخه ی اصلی فایل می نماید.
ویروس W32/Xpaj بسیار سریع فایل های سیستم را آلوده می سازد و این ویژگی پاکسازی آن را بسیار می سازد زیرا در حالی ضدویروس در حال اسکن نمودن و پاکسازی است همزمان ویروس نیز فایل ها را با همان سرعت آلوده می سازد.
ویروس W32/Xpaj با ساختن بلوک هایی از کدهای تصادفی که هر کدام مربوط به عملیات خاصی هستند، آنها را به طور تصادفی در بخش های مختلف کد فایلی که می خواهد آلوده نماید قرار می دهد. در زیر یک نمونه کد را قبل و بعد از آلوده شدن مشاهده می نمایید:
قبل از آلوده شدن:
بعد از آلوده شدن:
ماهیت تصادفی آلوده نمودن این ویروس و رمزنگاری پیچیده و کد های چند ریختی آن، باعث می شود که حتی شناسایی اینکه چه فایل هایی آلوده شده اند بسیار دشوار شود.
ویروس W32/Xpaj برای اطمینان از اینکه فایل های آلوده به طور همزمان کد آلوده ی ویروس را اجرا نکنند، رشته ای را جهت کنترل در پروسه های Svchost.exe و Explorer.exe تزریق می نماید.
همچنین فایل های زیر که نشانگر آلودگی هستند در سیستم آلوده ساخته می شوند:
C:\WINDOWS\icw.ifs
C:\WINDOWS\sqd.cxr
همچنین این ویروس هنگام آلوده سازی از دسترسی کاربر سیستم استفاده می نماید و از آنجایی که ویروس یک کپی از فایل را آلوده می سازد، دسترسی های مربوط به فایل را هم می تواند تغیییر داده و فایل را برای کاربر غیر قایل استفاده نماید و یا اینکه فایل دیگر نتواند اجرا شود.
از دیگر خرابکاری های این ویروس استفاده از الگوریتمی جهت تولید دامنه های تصادفی است تا ویروس با ایجاد ارتباط با این دامنه ها دستورات مخرب را جهت اجرا دریافت نماید، بعضی از این دامنه های تصادفی در زیر آمده است:
srcrwybsfh.com
yrgdvp.com
rsspurprzt.com
evnneaor.com
mtepfol.com
aukortmv.com
pydhqeqzlr.com
qkdtyzzeucu.com
vbwnmg.com
qdmjwq.com
njdouxhzdix.com
fbmzwmt.com
kcqelsvtufw.com
همچنین علاوه بر دامنه های ذکر شده به محض آلوده شدن سیستم ویروس ابتدا با دامنه های زیر برای دریافت دستورات اولیه ارتباط برقرار می نماید:
infoserv52.com
updateserv74.com
nortiniolosto.com
همینطور ویروس W32/Xpaj علاوه بر دریافت دستورات اقدام به دریافت ویروس های دیگر و سایر فایل های مخرب و قرار دادنشان بر روی سیستم می نماید. در آخرین نسخه ی این ویروس مشاهده شده که اقدان به دریافت ویروس PWS-Zbot می نماید.
پیشگیری
به روز نگه داشتن ضدويروس و استفاده از رمزهای عبور قوی برای کاربران و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
همینطور توصیه می شود با نصب اصلاحیه زیر قابلیت خوداجرایی (Autorun) سیستم عامل ویندوز را غیرفعال کنید:
http://support.microsoft.com/kb/971029
توجه داشته باشید که این اصلاحیه خود اجرای دیسکهای CD و DVD را تغییر نمی دهد و نیز سیستم عامل Windows 7 از ابتدا به این صورت تنظیم شده و نیازی به این اصلاحیه ندارد.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6722 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
