ویروس Generic.dx!tjv
این ويروس از دسته “اسب تروا” (Trojan) است که روزانه چند صد نوع از آنها در دنیـا منتشر می شـوند و آنقدر گونه های جهش یافته دارند که بـرخـی از شـرکت های تولید کننده ضدویروس، زحمت نامگذاری مجزا به آنها را به خود نمی دهند! ضدویروس McAfee چند سال پیش این تروجان ها را با نام عمومی Generic.dx نامگذاری کرد.
اما با افزایش بهمن وار این موجودات در دو سه سال اخیر، برای پیشگیری از برخی مشکلات در تشخیص آنها از هم، یک علامت تعجب (!) و یک حرف به آخر اینگونه ویروس ها اضافه شد. طولی نکشید که تعداد زیاد آنها، استفاده از دو حرف (مانند ab) و سپس سه حرف (مانند abc) را برای اضافه کردن به انتهای این نام ها، ضروری ساخت.
ویروس Generic.dx!tjv که یکی از این تروجان های پرتعداد است، همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه توسط کاربر، باعث آلودگی می شود. معمولاً کاربران این برنامه های مخرب را در یکی از سـایت ها یا برروی سرویـس دهنده های اشتراک فـایـل (مانند Kazza و eMule و مانند آن) و یا به عنوان پیوست (Attachment) یک نامه یافته و با تصور سودمند بودن برنامه، آنرا دریافت و اجرا می نمایند.
ويروس Generic.dx!tjv پس از مقيم شدن در حافظه، نشانی IP دستگاه قربانی را با وصل شدن به سایت مشهور WhatIsMyIPAddress.com یافته و به سرورهای آماده شده توسط ویروس نویس ارسال می کند. این کار برای آگاه کردن ویروس نویس انجام می شود تا هم گزارشی از میزان انتشار ویروس داشته باشد و هم بتواند سوءاستفاده از دستگاه آلوده را شروع کند.
ایـن ویـروس برای اطمینان از فعال بودن دائمی خود، نسخه هایی از خود را درون سرویس های مهم سیستم عامل مانند “explorer.exe” و “iexplore.exe” تزریق (Inject)
می کند، تا اگر کاربری سرویس ویروس را متوقف کرد دوباره فعال گردد. بدیهی است که ضدویروس مورد استفاده باید امکان ویروس یابی و پاکسازی سرویس های درحال اجرا در حافظه را داشته باشد تا بتـواند اقـدام بـه پـاکسـازی کامل نماید.
اگر رایانه قربانی دارای سیستم عامل Windows Vista یا Windows 7 باشد، ویروس تلاش می کند تا امکانات UAC (User Access Control) را غیرفعال کند تا احیاناً در هنگام فعالیت های بعدی، هشداری از سوی سیستم عامل برای کاربر نمایش نیافته و او را مشکوک نکند.
احتمالاً می دانید که امکانات UAC در پاسخ به نیاز امنیتی سیستم عامل Windows توسط مایکروسافت ارائه شد تا ویروس ها نتوانند بدون سروصدا هر بلایی که می خواهند بر سر دستگاه ها بیاورند. با استفاده از UAC کاربر جاری حتی اگر دسترسی های مدیر سیستم (Administrator) را داشته باشد، برخی از کارهای مدیریتی را پس از نمایش هشداری از سوی سیستم عامل می تواند انجام دهد. در حالتی که دستگاه، مورد حمله نفوذگران یا ویروس ها قرار گرفته باشد، این هشدار، کاربر را نسبت به آنچه در حال رخ دادن است آگاه می نماید. این امکان با وجود مفید بودن، در زمان انتشار Windows Vista با واکنش های منفی زیادی از سوی کاربران مواجه شد. به همین جهت در Windows 7 با تغییراتی که در آن صورت گرفت، قابل تحمل تر شده.
از شیرین کاری های دیگر این ویروس، غیرفعال کردن امکانات بازیابی سیستم عامل (System Restore) می باشد تا کاربر نتواند با برگرداندن وضعیت دستگاه به پیش از زمان آلودگی از شر آن خلاص گردد ! برای اینکار ویروس با دستکاری در محضرخانه (Registry) برای مدخلی به نام DisableSR در مسیر زیر مقدار یک را قرار می دهد.
Hkey_Local_MachineSoftwareMicrosoftWindowsNTCurrentVersionSystemRestore
همچنین این ویروس فایلی به نامAutorun.inf ایجاد میکند که درآن، نام فایل آلوده ای آمده است و آنرا به همـراه فایل آلوده در ریشه درایوهای دیسک سخت و دیسک های USB قرار می دهد. اینکار برای انتشار از طریق دیسک های قابل حمل USB صورت می گیرد. امروزه هیچ ویروس نویسی از این روش چشم پوشی نمی کند!
این ویروس با دست درازی به محضرخانه (Registry) سرویس های خود را به عنوان سرویس های آشنا (Authorized Applications) به دیواره آتش Windows معرفی می کند. اینکار سبب می شود ویروس بتواند بدون هیچ مزاحمتی با سایت هایی که ویروس نویس از قبل آماده کرده است، ارتباط برقرار کند و خود را بروز نماید و یا دستورالعمل های جدیدی دریافت کند.
ویروس Generic.dx!tjv برای پیشگیری از شناسایی شدن، سرویس Error Reporting Service را با انجام تغییری در محضرخانه غیرفعال می کند. این سرویس خطاهای ایجاد شده در هنگام اجرای برنامه ها را شناسایی کرده و در صورت تایید کاربر، جزییات آن را به سایت مایکروسافت ارسال می کند تا در آنجـا بـررسی و در صورت لـزوم بـرای آن راه حلی ارائه گردد. جالب است بدانید که از ویروس نویسان انتظار نمی توان داشت که اصول کنترل کیفیت را در تولیدات خود بکار ببندند! به همین جهت بسیار اتفاق می افتد که ویروسی با برخی از نرم افزارهای رایج ناسازگاری داشته و سبب ایجاد اشکال در عملکرد خود ویروس یا نرم افزار و یا حتی سیستم عامل می گردد. در چنیـن حـالـت هایی سرویسError Reporting Service می تواند کاربر را به وجود ویروس در دستگاه مشکوک کند.
این ویروس مانند بیشتر ویروس ها، در کلید های Run در محضرخـانه (Registry) مدخل هایی می سازد تا با هربار راه اندازی دستگاه در حافظه قرارگیرد.
ويروس Generic.dx!tjv برای اولین بار در 24 مردادماه سال جاری (1389) مشاهده شده است و ضدویروس McAfee بـا فـایـل هـای اطـلاعـاتی DAT 6075 قادر به شناسایی و پاکسازی این ویروس می باشد.