چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. ايــن ويروس برای اولین بار در سال 1388 مشاهده شده است و نمونه ی جدید آن در آبان ماه سال جاری (1391) منتشر شده است. در حال حاضر شدت آلودگی به این ویروس در خاورمیانه پایین است و بیشترین آلودگی ها در ایالات متحده ی آمریکا مشاهده شده است.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
| Siggen!DE8FEF244BD3 | McAfee |
| Trojan.Delf.PTU | BitDefender |
| Win32:Inject-ZK | avast |
| (GriSoft) Injector.ML | AVG |
| DR/Delphi.Gen | avira |
| Trojan.Win32.Inject.zzx | Kaspersky |
| Win32/Injector.gen!Z | Microsoft VirTool |
| Trojan Horse | Symantec |
| Win32/Injector.LB | Eset |
| W32/Dropper.LT | norman |
| Trj/Inject.EE | panda |
| Troj/Siggen-Gen | Sophos |
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس Siggen نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
این ویروس فایل های آلوده ی زیر را در دستگاه آلوده کپی می کند:
– %WINDIR%\SYSTEM32\drivers\aec.sys
– %TEMP%\ff84dc567ca9a6f6d15a4566d64d4e[private subnet]
همچنین فایل های زیر به صورت موقت در سیستم قرار داده می شوند.
– %TEMP%\rdlC.tmp
– %TEMP%\rdlB.tmp
ویروس Siggen پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آنرا در هر پروسه ای که پیش آن در حافظه بارگذاری شده است، تزریق نموده و از این طریق باعث ماندگاری کد موردنظر می شود. به بیان دیگر ویروس Siggen تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری از جمله پروسه ی Explorer می باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.
همچنین مانند بسیاری از ویروس های دیگر این ویروس هم اثراتی از خود را در بخشهایی از دستگاه مانند Registry می گذارد تا به طور مداوم بر روی سیستم اجرا شود.
از خرابکاری های ویروس Siggen تغییر تنظیمات پیش فرض مربوط به اجرای برنامه ها در محضرخانه ی سیستم است که با تغییر مدخل زیر صورت می گیرد. از این طریق ممکن ویروس می تواند جلوی اجرای بعضی از پروسه های مهم سیستم عامل را بگیرد:
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EXPLORER.EXE\
همچنین با تغییر مدخل زیر در محضر خانه ی سیستم، تنظیمات پیش فرض مربوط به پسوند (Extension) فایل ها تغییر می کند و ممکن است باعث شود بعضی فایل ها به درستی اجرا نشوند:
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS
همچنین این ویروس تلاش می کند با نشانی زیر ارتباط برقرار نماید:
– hxxp://94.247.2.48:8080/nasusw62jk3948lsa/*****
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند. همچنین فعال بودن قواعد (Rules) توصیه شده توسط شرکت مهندسی شبکه گستر در بخش Access Protection ضدویروس MCAfee VirusScna Enterprise می تواند جلوی اقدامات خرابکارانه این ویروس را بگیرد.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6893 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.