ویروس PWS-FATS

چيست

ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) دارد و اقدام به دزدیدن اطلاعات از روی سیستم قربانی می نماید. این اسب تروا قابلیت شناسایی کارت خوان های (Card Reader) متصل به دستگاه را داشته و در اینصورت اطلاعات زیادی از دستگاهی که کارت خوان به آن وصل است، جمع آوری می کند تا برای مرکز فرماندهی خود بفرستد. اولين نمونه اين ويروس در فروردین ماه سال جاری (1392) مشاهده شده است.

انتشار

اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار ويروس PWS-FATS نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. 

خرابكارى

به محض اجرا شدن ویروس PWS-FATS بر روی یک دستگاه یک کپی از ویروس ساخته شده و در مسیر زیر قرار داده می شود:

– %SystemDrive%\Documents and Settings\ Application Data\svchost.exe

 سپس با ساخته شدن مدخل زیر در محضرخانه ی سیستم آلوده، با هربار راه اندازی دستگاه، فایل آلوده ی ویروس (که با نام svchost.exe ساخته شده است) درون حافظه قرار می گیرد:

– HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run “PCI Compliant SCard”
Data: %SystemDrive%\ \Application Data\svchost.exe

این بدافزار با دستکاری در محضرخانه سیستم عامل، نام فایل آلوده خود را در فهرست پروسه های آشنا و قابل اعتماد دیواره آتش Windows قرار می دهد. تغییر ایجاد شده در محضرخانه به شرح زیر می باشد:

– HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile\ AuthorizedApplications\List “%SystemDrive% \ \Application Data\svchost.exe”
Data: %SystemDrive%\ \Application Data\svchost.exe:*:Enabled:svchost

ویروس PWS-FATS برای اطمینان از اینکه تنها یک نسخه از آن در هر زمان بر روی سیستم در حال اجرا باشد از ماژول زیر استفاده می‌کند:

این بدافزار اطلاعات مربوط به GUID، نام کاربری، نام سیستم، نسخه ی سیستم عامل و اطلاعات محلی سیستم را گردآوری کرده و می‌دزدد. ویروس PWS-FATS  همچنین پروسه های در حال اجرای سیستم را شناسایی می‌کند تا بتواند اطلاعات مورد نیازش را از دستگاه های آلوده بردارد.

در صورتی که سیستم آلوده شده به اینترنت متصل نباشد ویروس منتظر می‌ماند تا یک حافظه ی قابل حمل (USB Drive) با نام “007 KARTOXA” به دستگاه متصل شود. این نام خاص بوده و احتمالا مربوط به یک هدف خاص مورد نظر ویروس نویس می باشد. در اینصورت تمامی اطلاعات دزدیده شده از سیستم در فایلی با نام dumz.log ذخیره شده و داخل حافظه ی قابل حمل کپی می‌شود:

اسب تروای PWS-FATS تلاش می‌کند با سرویس دهنده ی کنترل و فرماندهی راه دور زیر ارتباط برقرار نماید:

– posterminalworld.la

همچنین از دستور زیر برای دریافت و اجرای فایل های آلوده از سرویس دهنده‌ی راه دور استفاده می‌شود:

– “dlx” –>

دستور زیر نیز جهت بروزرسانی استفاده می‌شود:

– “upd” –>

تصویر زیر دریافت دستورات از مرکز فرماندهی ویروس را نشان می دهد.

تمامی دستورات در بین و قرار می‌گیرند:

پيشگيرى

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 7050 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.