ویروس Generic PWS.y!1w3

چيست؟

ويروسی با میزان انتشار (درجه خطر) کم که عملکرد “اسب تروا” (Trojan) داشته و و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. اولین نمونه ی این اسب تروا برای اولین بار در آذر ماه سال جاری (1391) منتشر شد و پس از آن تا به حال نسخه های زیادی از آن انتشار یافته است. با توجه به نقشه ی جهانی آلودگی به این ویروس در خاورمیانه پایین می‌باشد و بیشترین آلودگی ها در ایالات متحده آمریکا و کشور لهستان بوده است.

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار ويروس Generic PWS.y!1w3! نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

نامگذاری

اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

– McAfee              Generic PWS.y!1w3!BCFD588B94D​5
– avira                 TR/Spy.315904.24
– BitDefender       Gen:Trojan.Heur.RP.tmGfayJ9qIhb
– clamav              PUA.Win32.Packer.Upx-28
– Dr.Web             Trojan.Inject1.13859
– eSafe (Alladin)   Trojan/Worm
– FortiNet             W32/Zzinfor.A
– norman             W32/Troj_Generic.FLJTO
– vba32               BScope.Malware-Cryptor.Win32.NSAnti.Gen.1

خرابکاری

در صورت اجرای این اسب تروا، فایلهای آلوده‌ی زیر در سیستم قربانی ایجاد می شود:

– %APPDATA%\Microsoft\Internet Explorer\Quick Launch\ieconfig.ini
– %TEMP%\ieconfig.ini
– %TEMP%\WinPass.Dll
– %APPDATA%\Microsoft\Internet Explorer\Quick Launch\miniIE.exe
– %WINDIR%\he1p
– %TEMP%\MiniIE.exe

ويروس Generic PWS.y!1w3! پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آنرا در پروسه‌ها‌ی سیستم‌عامل و هر پروسه ای که پس آز آن در حافظه بار گذاری می شود، تزریق نموده و از این طریق باعث اجرای کد موردنظر شود. به بیان دیگر این ویروس تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی مانند پروسه ی Explorer.exe و یا پروسه محافظت شده دیگری می‌باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.

با تغییر مدخل زیر در محضرخانه ی (Registry) دستگاه آلوده، ويروس Generic PWS.y!1w3! باعث عدم نمایش آیکن های روی میزکار کاربر (DeskTop) می شود:

– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\

از دیگر آسیب های این اسب تروا ساختن و تغییر فایل های از نوع Com و همچنین تغییر Cookie های مرورگر IE می باشد.

ويروس Generic PWS.y!1w3! با تغییر مقادیر پوسته ی سیستم (Shell) در محضر خانه ی سیستم باعث می شود برنامه های ناخواسته با هر بار راه اندازی مجدد سیستم، شروع به اجرا کنند.

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف، در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 6949 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.