چيست
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) دارد و اقدام به دزدیدن اطلاعات از روی سیستم قربانی می نماید. این اسب تروا قابلیت شناسایی کارت خوان های (Card Reader) متصل به دستگاه را داشته و در اینصورت اطلاعات زیادی از دستگاهی که کارت خوان به آن وصل است، جمع آوری می کند تا برای مرکز فرماندهی خود بفرستد. اولين نمونه اين ويروس در فروردین ماه سال جاری (1392) مشاهده شده است.
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس PWS-FATS نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابكارى
به محض اجرا شدن ویروس PWS-FATS بر روی یک دستگاه یک کپی از ویروس ساخته شده و در مسیر زیر قرار داده می شود:
– %SystemDrive%\Documents and Settings\ Application Data\svchost.exe
سپس با ساخته شدن مدخل زیر در محضرخانه ی سیستم آلوده، با هربار راه اندازی دستگاه، فایل آلوده ی ویروس (که با نام svchost.exe ساخته شده است) درون حافظه قرار می گیرد:
– HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run “PCI Compliant SCard”
Data: %SystemDrive%\ \Application Data\svchost.exe
این بدافزار با دستکاری در محضرخانه سیستم عامل، نام فایل آلوده خود را در فهرست پروسه های آشنا و قابل اعتماد دیواره آتش Windows قرار می دهد. تغییر ایجاد شده در محضرخانه به شرح زیر می باشد:
– HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile\ AuthorizedApplications\List “%SystemDrive% \ \Application Data\svchost.exe”
Data: %SystemDrive%\ \Application Data\svchost.exe:*:Enabled:svchost
ویروس PWS-FATS برای اطمینان از اینکه تنها یک نسخه از آن در هر زمان بر روی سیستم در حال اجرا باشد از ماژول زیر استفاده میکند:
این بدافزار اطلاعات مربوط به GUID، نام کاربری، نام سیستم، نسخه ی سیستم عامل و اطلاعات محلی سیستم را گردآوری کرده و میدزدد. ویروس PWS-FATS همچنین پروسه های در حال اجرای سیستم را شناسایی میکند تا بتواند اطلاعات مورد نیازش را از دستگاه های آلوده بردارد.
در صورتی که سیستم آلوده شده به اینترنت متصل نباشد ویروس منتظر میماند تا یک حافظه ی قابل حمل (USB Drive) با نام “007 KARTOXA” به دستگاه متصل شود. این نام خاص بوده و احتمالا مربوط به یک هدف خاص مورد نظر ویروس نویس می باشد. در اینصورت تمامی اطلاعات دزدیده شده از سیستم در فایلی با نام dumz.log ذخیره شده و داخل حافظه ی قابل حمل کپی میشود:
اسب تروای PWS-FATS تلاش میکند با سرویس دهنده ی کنترل و فرماندهی راه دور زیر ارتباط برقرار نماید:
– posterminalworld.la
همچنین از دستور زیر برای دریافت و اجرای فایل های آلوده از سرویس دهندهی راه دور استفاده میشود:
– “dlx” –>
دستور زیر نیز جهت بروزرسانی استفاده میشود:
– “upd” –>
تصویر زیر دریافت دستورات از مرکز فرماندهی ویروس را نشان می دهد.
تمامی دستورات در بین و قرار میگیرند:
پيشگيرى
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 7050 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.