ویروس PWS-Zbot

ويروس هایی که با عبارت PWS/PassWord Stealer شروع می شوند اصلی ترین کارشان دزدیدن رمزهای عبور از روی دستگاه های قربانی می باشد. اینکه چه رمز عبورهایی مورد نظر باشد، بسته به علایق ویروس نویس دارد. ویروس PWS-Zbot مانند اکثر ویروس های مشابه عملکرد  “اسب تروا” (Trojan) داشته و به عنوان يک برنامه سودمند به کاربر معرفی می شوند، اما هنگامیکه وی تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن گريبانش را می‏گيرد.

اولين نمونه اين ويروس که در رسانه ها به نام زئوس (Zeus) مشهور شده است، در آذرماه سال 1386 مشاهده شد و این روزها از ظهور مجدد آن به عنوان طلوع مجدد زئوس یاد می شود. اولین نگارش های این ویروس اقدام به جمع آوری رمز عبور مربوط به بازیهای شبکه ای می کرد اما در نگارش های بعدی، ویروس نویس (یا فرد دیگری که به کد اصلی ویروس دسترسی یافته بود) سراغ رمزهای حسابهای بانکی اینترنتی قربانیان هم رفت.

فایل آلوده به این ویروس به صورت پیوست یک نامه الکترونیکی به دست کاربر می رسد. این نامه ها عنوان های (Subject) جذابی مانند “تاییدیه رزرو جا” یا “صورتحساب پرداخت ها” را درخود دارند تا کاربر را به بازکردن پیوست ترغیب کنند. با بازکردن پیوست نامه، ویروس برروی دستگاه فعال شده و علاوه بر خرابکاری هایی که در ادامه به آن اشاره خواهیم کرد، می تواند نسخه هایی از خود را به نشانی های دیگر ارسال نماید.

ويروس PWS-Zbot با ذخیره نامهای کاربری و رمزهای مربوط به حسابهای بانکی و بازی های شبکه ای که برروی دستگاه ذخیره شده است، آنها را به سرویس دهنده مورد نظر نویسنده ویروس ارسال می کند. در بیشتر موارد سایتهایی که این اطلاعات به آنها ارسال می شوند سرویس دهنده های Web در کشورهای روسیه یا چین می باشند. اما در برخی گونه ها هم اطلاعات به یک نشانی پست الکترونیکی در سایت Yahoo.com ارسال می گردد و یا از طریق پودمان IRC به دست ویروس نویس می رسد. پودمان IRC/Internet Relay Chat سال ها پیش برای گپ و گفت و گو (Chat) اینترنتی استفاده می شد و اینک که نرم افزارهای پیام رسان (Instant Messanger) رنگارنگ و جذاب به بازار آمده است، از سوی ویروس نویسان مورد استقبال واقع شده است. علاوه بر استفاده ویروس ها از کانال های خلوت سرویس دهنده های IRC برای ارسال اطلاعات، در بسیاری از موارد فرامین لازم هم توسط ویروس نویسان از همین راه در اختیار ویروس قرار می گیرد تا آن را اجرا کند. برخی از نگارش های این ویروس هم از این سازوکار برای بروز کردن خود استفاده می کند تا از دست ضدویروس های بروز شده در امان بماند.

این ویروس همچنین تنظیمات امنیتی نرم افزار مرورگر اینترنت (Internet Explorer) دستگاه آلوده را به گونه ای تغییر می دهد تا امکان دریافت و اجرای هر برنامه ای از طریق IE فراهم شود بدون آنکه کاربر هشداری از این بابت دریافت کند. به عبارت دیگر با این تغییرات تمام سایت ها در رده سایتهای آشنا (Trusted Sites) قرار گرفته و امکان دریافت و اجرای برنامه از آنها بدون اطلاع کاربر فراهم می‏ شود. اگر ضدویروس امکانات جلوگیری از رویدادهای مشکوک را داشته باشد، حتی اگر این ویروس یا ویروس های مشابه را شناسایی نکند، می تواند جلوی اینگونه فعالیتها را بگیرد. به عنوان نمونه برخی از قواعد بخش Access Protection در ضدویروس McAfee VirusScan Enterprise از این قابلیت برخوردار می باشد.

گونه هایی از این ویروس کلیدی در محضرخانه را که مربوط به اجرای فایل “Userinit.exe” است به گونه ای تغییر می دهد تا همزمان با اجرای آن، ویروس هم درون حافظه قرار گیرد. فایل اجرایی “Userinit.exe” کار آماده سازی محیط کاری کاربر را در سیستم عامل Windows به عهده داشته و با وارد شدن (Login) کاربر به Windows حتما اجرا می گردد.

امکانات ابتدایی Rootkit ها هم در این ویروس وجود دارد، بگونه ای که با دستکاری برخی از توابع برنامه نویسی (API) سیستم عامل، دیدن فایل های آلوده ویروس را توسط کاربر غیرممکن می نماید. توابع API  که کوتاه شده عبارت  (Application Programming Interface) می‏ باشد از پیش در سیستم عامل تعریف شده اند، تا برای انجام کارهای مورد نیاز سیستم عامل و نرم افزارها فراخوانی گردند. مثلا اگر برنامه ای مانند “Explorer.exe” بخواهد فهرست فایلهای موجود در شاخه ای را بدست آورد، تابع مربوطه را صدا زده و در پاسخ فهرست مورد نظر را دریافت و به کاربر نشان می دهد. اینک هنگامیکه ویروس در تابعی مانند “برگرداندن فهرست فایل های موجود در یک شاخه” دستکاری می کند، در واقع به واسطه ای بین تابع مربوطه و برنامه های استفاده کننده از آن تابع تبدیل می‏شود. بنابراین به راحتی می تواند نام فایل های مربوط به خود را از هر فهرستی که توسط تابع برگردانده می شود، حذف نماید.

ویروس PWS-Zbot برای اطمینان از فعال بودن دائمی، نسخه هایی از خود را درون پروسه های مهم سیستم عامل مانند “lsass.exe” و  “Services.exe” تزریق می کند، تا اگر کاربری پروسه ویروس را متوقف کرد دوباره اقدام به فعال کردن آن نماید. بدیهی است ضدویروس مورد استفاده باید امکان ویروس یابی و پاکسازی پروسه های درحال اجرا در حافظه را داشته باشد تا بتواند اقدام به پاکسازی کامل بنماید.

یک درپشتی (Backdoor) هم برای اقدامات خرابکارانه بعدی، برروی یکی از درگاه های TCP دستگاه باز می شود. این درپشتی می تواند بعدا برای ارسال دستورات ویروس نویس به مجموعه ای از دستگاه های آلوده مورد استفاده قرارگیرد. دستورات مزبور هم به طور معمول برای حمله به یک سایت یا ارسال انبوهی از هرزنامه ها می باشند. برای مجموعه دستگاه های آلوده و تحت فرمان یک ویروس نویس BotNet گفته می شود و به همین دلیل است که کلمه bot در نام ویروس آمده است.

یکی از کارهای خطرناک این ویروس انجام تغییراتی در فایل termsrv.dll”” می باشد تا روال تایید کاربر در نرم افزار ارتباط از راه دور (Remote Desktop) را غیرفعال کند. در این صورت نفوذگر می تواند بدون آنکه نام کاربر و رمزی از او پرسیده شود، از راه دور به دستگاه وصل شده و مانند کاربری که در کنار دستگاه نشسته از آن استفاده کند. فرآیند دستکاری فایل های dll برای تغییر در عملکرد آنها را وصله کاری (Patch) می نامند. این کلمه که به همین شکل درباره اصلاجیه های نرم افزاری هم بکار می رود، در اینجا به معنی جایگزین کردن فایل اجرایی با فایل دیگری است که برخی از رفتارهای آن را تغییر می دهد. در فرآیند قفل شکنی (Crack) نرم افزارها هم گاهی جابجایی فایل اصلی نرم افزار با نسخه دستکاری شده یعنی وصله کاری صورت می گیرد. بدیهی است فرد خلافکار در این حالت توانایی فنی بالایی در تجزیه و تحلیل فایل اجرایی و سپس انجام نغییر در آن را خواهد داشت.

برخی از نگارش های این ویروس از طریق دستکاری در محضرخانه (Registry)، نام پروسه خود را به عنوان پروسه آشنا (Authorized Application) تعیین می کند تا بتواند دیواره آتش توکار Windows را دور بزند.

یکی از مهمترین روش های پیشگیری از این ویروس و گونه های مشابه آن پرهيز از بازکردن پیوست نامه های مشکوک و به طور کلی عدم استفاده از فایل هایی که از صحت داده های موجود در آن کاملا مطمئن نیستیم، می باشد. ضدویروس بروز هم در مقابله با آلودگی احتمالی نقش زیادی دارد.
فرمول شناسایی آخرین نگارش این ویروس در فایل های اطلاعاتی مک آفی به تاریخ 22 مرداد 1389 (DAT 6073) اضافه شده است.