ويروس Vundo

[wptabs style=”wpui-red” effect=”fade” mode=”horizontal”]
[wptabtitle] چیست[/wptabtitle]
[wptabcontent]

ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. اولین نمونه ی این ويروس در دی ماه سال 1387مشاهده شد که اقدام به دریافت اطلاعات جستجوی کاربر در اینترنت می نمود و براساس این اطلاعات پیغام ها و تبلیغات خاصی را نمایش می داد. ظاهرا نویسندگان این ویروس روزهای پرکاری را می گذرانند چون کمتر از یک ماه پیش بود که هشدار مربوط به گونه Vundo.gen.w منتشر گردید! در حال حاضر شدت آلودگی به این ویروس در خاور میانه پایین است و بیشترین آلودگی ها در ایالات متحده ی آمریکا مشاهده شده است.

[/wptabcontent]
[wptabtitle] انتشار[/wptabtitle]
[wptabcontent]

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس Vundoنيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

[/wptabcontent]
[wptabtitle] خرابکاری[/wptabtitle]
[wptabcontent]

به محض اجرای ناقل اسب تروا ی Vundo بر روی یک سیستم ، یک فایل سیستمی DLL که رمز نگاری شده است بر روی سیستم ایجاد می شود. این فایل DLL مختص همین سیستم بوده و توسط سیستم به عنوان یک فایل اطلاعاتی کلیدی مورد استفاده قرار می گیرد.

این فایل DLL یک فایل چند ریختی بوده و در مسیر زیر بر روی سیستم ایجاد می شود:

%WinDir%\System32\[random].dll

سپس با ساختن مدخل زیر در محضر خانه ی سیستم، با هر بار راه اندازی مجدد فایل DLL اجرا می شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Data: %WinDir%\system32\rundll32.exe %WinDir%\system32\[dropped DLL name].dll,[random character exported function]

همچنین ممکن است فایلی دستوری با پسوند job در پوشه ی دستورات سیستم در مسیر زیر، ساخته شود که به عنوان مکانیزمی برای اجرای مجدد ویروس استفاده می شود:

%WinDir%\tasks folder

با اجرای فایل DLL ، ویروس در حافظه بارگذاری شده واقدام به دریافت ابزار های تبلیغاتی مزاحم (Adware) می نماید. فایل اجرایی این ابزار های تبلیغاتی ممکن است در مسیر زیر قرار داده شوند. این فایل اجرایی با نام Adware-Eorezo شناسایی می شود.

%WinDir%\system32\Spool\PRINTER\[random].spl

مسیر بالا توسط راه انداز بعضی از پرینترها برای ارسال دستور پرینت استفاده می شود و بعضی مواقع هر فایلی که در این مسیر قرار بگیرد به صورت خودکار برای پرینتر ارسال شده و پرینت گرفته می شود. در نتیجه ممکن است پرینتر به صورت خودکار اقدام به پرینت اطلاعات نامفهوم نماید.

همچنینی در صورت اجرای فایل DLL ، ویروس یک فایل تصویری با پسوند JPEG, PNG و یا غیره را دریافت و در حافظه کپی می کند، که از آن برای رمز گشایی فایل های رمزنگاری شده ی ویروس استفاده می کند.

از دیگر خرابکاری این ویروس دریافت ابزار های تبلیغاتی مزاحم می باشد که شامل یک بخش اجرایی و یک لینک تبلیغاتی هستند. فایل اجرایی با نامی تصادفی در مسیر زیر قرار می گیرد و طوری طراحی شده است که با اجرا شدن لینک تبلیغاتی را باز می کند.

%temp%\[random].exe

همینطور فایل اجرایی با باز نمودن مرورگر IE تلاش می کند با نشانی های زیر ارتباط برقرار نماید:

hxxp://somethingclosely.com
hxxp://ads.alpha00001.com
hxxp://storage1.static.itmages.ru
hxxp://storage5.static.itmages.ru

[/wptabcontent]
[wptabtitle] پیشگیری[/wptabtitle]
[wptabcontent]

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازدید سایت های وب ناشناخته و بازکردن پیوست نامه های مشکوک و استفاده از رمز های عبور قوی، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 6747 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.

[/wptabcontent]
[/wptabs]