ويروس W32/Pift
[wptabs style=”wpui-red” mode=”horizontal”]
[wptabtitle] چیست؟[/wptabtitle]
[wptabcontent]ويروسی با میزان انتشار کم (Low) که عملکرد “کرم” (Worm) داشته و به طور خودکار و با آلوده سازی فایل های اجرایی خودش را منتشر می کند. اولین نگارش این ویروس در تیر ماه سال جاری ( 1391) مشاهده شده است. در حال حاضر بر طبق نقشه ی جهانی میزان آلودگی به این ویروس در خاور میانه پایین می باشد اما با توجه به روش موذیانه این ویروس، باید هشدارهای داده شده را جدی گرفت.
[/wptabcontent]
[wptabtitle] انتشار[/wptabtitle] [wptabcontent]این ویروس، مانند سایر کرم ها از روشهای متعددی برای انتشار استفاده می کند:
– از طریق دیسک های USB قابل حمل (Flash Disk) و CD های قابل نوشتن (Writable)
– در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.
[/wptabcontent]
[wptabtitle] خرابکاری[/wptabtitle]
[wptabcontent]ویروس W32/Pift با نوشتن کدی مجازی بر روی آخرین بخش فایل های اجرایی این فایل ها را طوری تغییر می دهد که با اجرای فایل آلوده شده، همزمان فایل ویروس هم اجرا شود. این ویروس بر روی حافظه ی سیستم و حافظه های جانبی و قابل حمل و همینطور درایو های به اشتراک گذاشته شده، فایل های اجرایی را آلوده نموده و به طور مداوم برای پیدا نمودن فایل های اجرایی، منابع دستگاه آلوده را جستجو می نماید.
این ویروس فایل آلوده ی زیر را در ریشه ی دستگاه آلوده کپی می کند:
%systemroot%\sample.exe
از خرابکاری های این ویروس غیر فعال نمودن سرویس برنامه های امنیتی و ضد ویروس ها بر روی سیستم آلوده می باشد. برای این کار ویروس مدخل هایی را در محضرخانه ی سیستم می سازد. فهرستی از این مدخل ها را در زیر مشاهده می نمایید و همانطور که مشخص است نام سرویس بسیاری از ضد ویروس ها در این لیست قرار دارد:
HKLM\SYSTEM\ControlSet001\Services\360rp\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\a2AntiMalware\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\amsp\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\AntiVirService\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\avast! Antivirus\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\AVGIDSAgent\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\AVGwd\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\avp\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\ekrn\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\F-Secure Gatekeeper Handler Starter\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\FSMA\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\FSORSPClient\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\kxesapp\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\kxescore\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\mcods\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\MsMpSvc\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\Mcshield\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\NIS\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\PavFnSvr\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\pavsrv\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\RsRavMon\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\SavService\
Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\V3 Service\
Start: 0x00000004
HKLM\SYSTEM\ControlSet002\Services\vsserv\
Start: 0x00000004
HKLM\SYSTEM\ControlSet002\Services\zhudongfangyu\
Start: 0x00000004
همچنین کلید زیر در محضر خانه ی سیستم ساخته می شود که حاوی کد آلوده ی ویروس می باشد:
HKLM\SYSTEM\Select\v
از دیگر آسیب های ویروس اجرا شدن در حالت امن یا Safe mode است که از طریق اضافه شدن مدخل زیر امکان پذیر می شود:
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sample
این ویروس سعی می کند با نشانی های زیر ارتباط برقرار نماید و فایل های آلوده و ویروس های دیگری را دریافت نماید:
e.ppift.com
e.ppift.net
ns1.ppns.info
ns2.ppns.info
ns3.ppns.info
ns4.ppns.info
206.137.17.89
همچنین ویروس با جستجوی نقاط اشتراکی باز از طریق درگاه (Port) شماره 137 اقدام به آلوده سازی فایل های اجرایی از راه دور می نماید.
[/wptabcontent]
[wptabtitle] پیشگیری[/wptabtitle]
[wptabcontent] استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگری در مقابل کرمها می باشد. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
ضدویروس مک آفی با فایلهای اطلاعاتی شماره 6775 (و پس از آن) قادر به شناسایی و پاکسازی فایل های آلوده ی این ویروس می باشد. در عین حال ابزار مستقل پاکسازی برای این ویروس در نشانی زیر قابل دسترسی می باشد:
http://update.shabakeh.net/download/tools/stinger-Pift.exe
[/wptabcontent]
[/wptabs]
