ويروس HTA/Autorun.worm

چیست؟

ويروسی که عملکرد “کرم” (Worm) داشته و توسط دیگر اسب های تروا و به صورت پیوست نامه های الکترونیکی دریافت شده و با آلوده نمودن سیستم اقدام به ارسال نامه های الکترونیکی از دستگاه قربانی می نماید.

حروف HTA در ابتدای نام این ویروس اشاره به استفاده فایل از فایلهای هم خانواده HTML دارد.

درحال حاضر درجه ی خطر این کرم پایین می باشد، به این معنی که بصورت گسترده در جهان پخش نشده است.

 

انتشار

این ویروس به صورت پیوست یک نامه ی الکترونیکی با مشخصات زیر دریافت می شود:

موضوع (Subject) : “FW:Mejores Amigos!!!”
متن (Body) : “Mejores Amigos!!!” “Asi son los amigos”

نامه حاوی پیوستی با نام Mejores Amigos.zip می باشد که یک فایل فشرده است. این فایل فشرده حاوی 2 فایل مخرب زیر است:

– Mejores Amigos.lnk
– Informacion Importante.lnk

ویروس HTA/Autorun.worm برای انتشار لیست نشانی های موجود در برنامه ی Outlook بر روی سیستم را جمع آوری نموده و خود را برای تمامی این نشانی ها به صورت نامه ی الکترونیکی ارسال می نماید. اطلاعات نامه های الکترونیکی ارسال شده در کلید زیر در محضرخانه ی سیستم ذخیره می شود:

– HKCU\software\OnTheFly\maile

 

خرابکاری

به محض اجرا شدن ویروس، برنامه ای از نوع HTA) HTML Application) به نام MsnClonMailer فعال می شود.

– hxxp://www.<Removed>.com/images/msnmsgr.tpl?1334166764297

همچنین برنامه ی دیگری با نام MsnClonInfector از نشانی زیر فعال می شود:

– hxxp://187.157.146.149:102/m0rpheus/morpheus2010/msnmsgr.tpl? Update20120411_exp2012_05_06_09_21_17

(نشانی های مربوط به ویروسها تغییر داده شده اند تا قابل کلیک کردن نباشند.)

سپس تمامی پروسه های زیر توسط ویروس بسته می شوند:

– avgnt.exe
– avguard.exe
– avshadow.exe
– chrome.exe
– firefox.exe
– GoogleUpdate.exe
– msnmsgr.exe
– GoogleCrashHandler.exe

پس از اتمام نصب، یک برنامه ی جعلی که ظاهری کاملا شبیه به برنامه ی MSN Messenger دارد، باز می شود.

ويروس HTA/Autorun.worm همچنین یک پنجره ی جعلی ورود به MSN Messenger به صورت زیر نمایش می یابد:ويروس HTA/Autorun.wormهمچنین صفحه ی اول مرورگر وب به نشانی زیر تغییر می یابد:

– hxxp://www.<Removed>.com/images/live.htm

با آلوده شدن سیستم فایل های مخرب زیر در سیستم قرار می گیرند:

– %RootDir%\Program Files\archivos.exe
– [location original sample was run]\M0rPheuS.tpl

این فایل با عنوان (HTA/Autorun.worm.gh) توسط ضدویروس شناسایی می گردد.

– [location original sample was run]\Windows LiveMessenger.lnk

این فایل با عنوان (HTA/Autorun.worm.gh!lnk) توسط ضدویروس شناسایی می گردد.

– C:\M0rPheuS.tpl

این فایل با عنوان (HTA/Autorun.worm.gh) توسط ضدویروس شناسایی می گردد.

– C:\Windows Live Messenger.lnk

این فایل با عنوان (HTA/Autorun.worm.gh!lnk) توسط ضدویروس شناسایی می گردد.

– %UserDir%\My Documents\M0rPheuS.tpl

این فایل با عنوان (HTA/Autorun.worm.gh) توسط ضدویروس شناسایی می گردد.

– %UserDir%\[user]\msn\a.txt
– %UserDir%\[user]\msn\d.reg
– %UserDir%\[user]\msn\d.tpl
– %UserDir%\[user]\msn\InformacionImportante.lnk

این فایل با عنوان (HTA/Autorun.worm.gh!lnk) توسط ضدویروس شناسایی می گردد.

– %UserDir%\[user]\msn\M0rPheU$.jpg
– %UserDir%\[user]\msn\m2012_04.exe
– %UserDir%\[user]\msn\m2012_04.tt
– %UserDir%\[user]\msn\mailer.tpl
– %UserDir%\[user]\msn\mailpv.exe

این فایل با عنوان ) (PWCrackMailPassView توسط ضدویروس شناسایی می گردد.

– %UserDir%\[user]\msn\mailpv.tt

این فایل با عنوان ) (PWCrackMailPassView توسط ضدویروس شناسایی می گردد.

– %UserDir%\[user]\msn\mails.hta
– %UserDir%\[user]\msn\Mejores Amigos.lnk
– %UserDir%\[user]\msn\Mejores Amigos.zip
– %UserDir%\[User]\m0rpheus\check.txt
– %UserDir%\[User]\m0rpheus\M0rPheuS.tpl

این فایل با عنوان (HTA/Autorun.worm.gh) توسط ضدویروس شناسایی می گردد.

ویروس با قرار دادن فایل های زیر در شاخه Startup کاربر، تضمین می کند که با هر بار راه اندازی سیستم بلافاصله اجرا شود:

– Actualizaciones de Windows Live.lnk
– Detector de Spywares de Windows Live.lnk
– Windows Live Messenger.lnk

از دیگر آسیب های ویروس تنظیم مدخل زیر در محضرخانه ی سیستم قربانی است که به منظور راه اندازی مکانیزم keylogger (دزدیدن اطلاعات وارد شده بر روی صفحه کلید) انجام می شود:

– HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “SpyEx”
– Data: %RootDir%\Program Files\archivos.exe

سپس ویروس تلاش می کند اطلاعات جمع آوری شده را به نشانی زیر ارسال نماید:

– hxxp://187.157.146.149:102/m2010.php

 

پیشگیری

استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگیری در مقابل کرمها می باشد. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا و باز کردن پیوست نامه های مشکوک، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.

همینطور توصیه می شود با نصب اصلاحیه زیر قابلیت خوداجرایی (Autorun) سیستم عامل ویندوز را غیر فعال کنید:

http://support.microsoft.com/kb/971029

توجه داشته باشید که این اصلاحیه خوداجرای دیسکهای CD و DVD را تغییر نمی دهد و نیز سیستم عامل Windows 7 از ابتدا به این صورت تنظیم شده و نیازی به این اصلاحیه ندارد.

ضدویروس مک آفی با فایل های بروزرسانی شماره 7612 قادر به شناسایی و پاکسازی این ویروس می باشد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *