هشدار ویروس W32/Autorun.worm.aaeb

بدافزار Autorun.worm.aaeb، بدافزاری با عملکرد “کرم” (Worm) است که آخرین نگارش آن به سرعت در حال انتشار در جهان و از جمله ایران می باشد. Autorun.worm.aaeb از طریق حافظه های USB و پوشه های به اشتراک گذاشته شده، منتشر می شود. از قابلیت های این بدافزار، کپی کردن خود در فایلهای فشرده شده ZIP و RAR است. همچنین با برقراری ارتباط با مرکز فرماندهی خود، اقدام به دریافت بدافزارهای دیگر و اجرای آنها بر روی سیستم قربانی می کند.

 نحوه انتشار

این بدافزار خود را با نامهای زیر در حافظه های USB و پوشه های به اشتراک گذاشته شده کپی می کند:

• Secret.exe
• Sexy.exe
• Porn.exe
• Passwords.exe

ضمن اینکه یک فایل با حجم صفر بایت به نام x.mpeg ایجاد می کند.

همچنین با ایجاد فایلهای Autorun.inf و کپی آنها در ریشه درایوها، سبب اجرا شدن خودکار بر روی سیستم هایی می شود که قابلیت Autorun در آنها فعال است.

بدافزار Autorun.worm.aaeb با مخفی کردن پوشه های موجود بر روی کامپیوتر آلوده، خود را همنام آن پوشه ها، در کنار آنها کپی می کند. همچنین فایلهای دارای پسوندهای زیر را در حافظه های USB جستجو کرده و در صورت یافتن، آنها را مخفی کرده و خود را با همنام با آنها، در آن مسیر کپی می نماید.

• mp3
• avi
• wma
• wmv
• wav
• mpg
• mp4
• doc
• txt
• pdf
• xls
• jpg
• jpe
• bmp
• gif
• tif
• png

در Registry، این بدافزار با تغییر مقدار کلید ShowSuperHidden به صفر، سبب می شود کاربر قادر به مشاهده فایلهای مخفی (System/Hidden) بر روی کامپیوتر آلوده نباشد.

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden = dword:00000000

همچنین در صورت نصب بودن نرم افزار WinRAR بر روی دستگاه قربانی، خود را با نام Secret.exe در فایلهای فشرده شده ZIP و RAR کپی می کند. برای این منظور از فرمان rar.exe بصورت زیر استفاده می کند:

• rar.exe a -y -ep -IBCK “<rar/zip file found>” “%userprofile%\Secret.exe”

خرابکاری

به محض اجرا شدن، بدافزار W32/Autorun.worm.aaeb خود را با نامی متغیر، در مسیر %UserProfile% کپی می کند.

در ادامه با ایجاد کلید زیر در محضرخانه (Registry) سبب می شود که بدافزار با هر بار راه اندازی سیستم بصورت خودکار اجرا شود:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run <malware name> = ”%UserProfile%\<Random name>.exe /e”

بدافزار Autorun.worm.aaeb از طریق درگاه TCP 9004 به دامنه Ns1.helpupdater.net متصل می گردد. به محض برقراری ارتباط، مرکز فرماندهی، فرامین را بصورت خودکار به بدافزار ارسال می کند. در حال حاضر این فرامین تنها مربوط به دریافت بدافزارهای دیگر می شود. این بدافزار با دریافت این فرامین می کوشد که فایلهای مخرب را از نشانی های تعیین شده، دریافت و سپس بر روی کامپیوتر قربانی اجرا و نصب کند.

از دیگر خرابکاری های این بدافزار، غیر فعال کردن به روز رسانی خودکار Windows با تغییر کلید زیر در محضرخانه می باشد:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU NoAutoUpdate = dword:00000001

پیشگیری

به روز نگه داشتن ضدويروس، استفاده از دیواره های آتش و استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر می تواند کامپيوتر را در مقابل اين بدافزار محافظت کند. همچنین توصیه می شود دسترسی کاربران به حافظه های USB در حد امکان محدود شود.

ضدویروس McAfee با فایلهای اطلاعاتی حداقل DAT 6911 اجزای مختلف این بدافزار با نامهای زیر شناسایی می کند:

• W32/Autorun.worm.aaec
• W32/Autorun.worm.aaed
• W32/Autorun.worm.aaee
• W32/Autorun.worm.aaef
• W32/Autorun.worm.aaeg
• W32/Autorun.worm.aaeh
• VBObfus.ey
• VBObfus.ez
• VBObfus.fa