نماد سایت اتاق خبر شبکه گستر

ويروس W32/XDocCrypt.a

چيست؟

ويروسی با درجه خطر (میزان انتشار) کم که عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند. این ویروس فایل های برنامه ی word و Excel مربوط به Microsoft office و همچنین فایل های اجرایی داخل سیستم را رمزنگاری می کند. ویروس W32XDocCrypt.a برای اولین بار در مرداد ماه سال جاری (1391) مشاهده شده است. در حال حاضر طبق نقشه ی جهانی میزان آلودگی به این ویروس، بیشترین میزان انتشار در هند مشاهده شده است.

 

نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

W32XDocCrypt.aMcAfee
Trojan-Dropper.Win32.Dorifel.hclKaspersky
Virus:Win32/Quervar.BMicrosoft
W32/BadBreak.ANorman
Trojan.Exprez.BSymantec

 

 

 

 

انتشار
این ویروس، مانند سایر کرم ها از روشهای متعددی برای انتشار استفاده می کند.

– از طریق دیسک های USB قابل حمل (Flash Disk) و cd های قابل نوشتن (Writable)
– در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.

 

خرابکاری
این ویروس پس از مقیم شدن در حافظه تمامی فایل های برنامه ی word و Excel مربوط به Microsoft office و همچنین فایل های اجرایی داخل سیستم را رمزنگاری می کند. ویروس از الگوریتم RC4 برای رمزنگاری این فایل ها استفاده می نماید.

در صورتی رمزنگاری با موفقیت انجام شود، فایل اصلی با فایل دستکاری شده توسط ویروس جایگزین می شود. در صورتی که پسوند فایل .doc/.docx باشد با نام U+202Ecod.scr و در صورتی که پسوند فایل .xls/.xlsx باشد با نام U+202Eslx.scr جایگزین خواهد شد.

لازم به ذکر می باشد که کاراکتر U+202 باعث می شود تا نام فایل از راست به چپ به صورت برعکس در مرورگر ویندوز نمایش یابد. به طور مثال اگر نام فایل Filename.xlsx باشد، این فایل ابتدا به Filename?slx.scr تغییر نام پیدا کرده و در مرورگر ویندوز (Explorer.exe) به صورت Filenamercs.xls نمایش می یابد .

در شکل زیر نمونه ای از فایل تغییر یافته را می بینید:

همانطور که در شکل زیر مشخص است، در خط فرمان نام فایل به درستی نمایش داده می شود:


ویروس W32XDocCrypt.a پس از آلوده نمودن سیستم نسخه ای از خود را در مسیر زیر با نامی تصادفی کپی می کند:

%APPDATA%\<random>\<random>.exe

همچنین با ساختن یک میانبر (Shortcut) و تغییر مدخل زیر، ویروس با هر بار راه اندازی مجدد اجرا می شود:

HKEY_CURRENT_USER\Software\Microsoft\windows NT\Current Version\Windows
• Load = <path to shortcut file>

در صورت اجرای فایل آلوده ی رمزنگاری شده، ویروس فایل را رمزگشایی نموده و نسخه ای از فایل را در مسیر فایل اصلی قرار می دهد و سپس آن فایل را باز می نماید. این فایل پس از مدتی از مسیر ذکر شده حذف می شود.

فایل های زیر در صورت آلودگی سیستم در مسیرهای زیر در سیستم قرار می گیرند:

%Userprofile%\Desktop\CU20HR
%Userprofile%\Local Settings\TempWB1QWN6
%Userprofile%\Local Settings\Temp\3TBB4U97
%Userprofile%\Local Settings\Temp\6W4Q3ALW
%Userprofile%\Local Settings\Temp\7YYJE29K
%Userprofile%\Local Settings\Temp\DQVYV8FR
%Userprofile%\Local Settings\Temp\G8CP8T8Y
%Appdata%\F39NC5\RCX42.tmp
%Appdata%\F39NC5\B76F4U.exe.dat
%Appdata%\Microsoft\CryptnetUrlCache\Content \135BD6A358680A7BF1CCEC7C0172393D
%Appdata%\Microsoft\CryptnetUrlCache\Content \94308059B57B3142E455B38A6EB92015
%Appdata%\Microsoft\CryptnetUrlCache\MetaData \135BD6A358680A7BF1CCEC7C0172393D
%Appdata%\Microsoft\CryptnetUrlCache\MetaData \94308059B57B3142E455B38A6EB92015
%Appdata%\F39NC5\B76F4U.exe
%Appdata%\F39NC5\B76F4U.exe.lnk (detected as W32 /XDcocCrypt.a!lnk(

همچنین ویروس تلاش می کند با نشانی های زیر از طریق درگاه (Port 80) ارتباط برقرار نماید:

87.255.[Removed].229/reso[Removed].com
65.55. [Removed].152
65.54. [Removed].253
65.55. [Removed].16

در صورت اجرا، ویروس سعی می کند با نشانی زیر نیز از طریق درگاه (Port 443) ارتباط برقرار نماید:

109.105. [Removed].5

 

پيشگيری

به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 6774 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.

خروج از نسخه موبایل