VBObfus.g بدافزاری از نوع “اسب تروا” (Trojan) است که درجه خطر کم دارد. پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. نخستین نمونه از ايــن بدافزار برای اولین بار در شهریور ماه سال 1389 مشاهده شد و گونه های جدیدی از آن در روزهای اخیر (آذر 1392) منتشر و کشف شده است. مشاهدات محلی نشان می دهد که انتشار نسخه های قبلی این بدافزار در ایران قابل توجه بوده است.
نامگذاری ها
اين ويروس با نامهای زير توسط ضد ويروس های مختلف شناسايی می شود.
McAfee: VBObfus.g
avast: Win32:VB-RUH
avira: W32/Sality.AT Windows
Kaspersky: Virus.Win32.Sality.GeN
Dr.Web: Win32.Sector.22
Microsoft: Virus:Win32/Sality.AT
Eset: Win32/VBObfus.FZ
panda: W32/Sality.AA
Sophos: Mal/Sality-D
vba32: Virus.Win32.Sality.bakc
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار بدافزار VBObfus.g نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
با آلوده شدن دستگاه به بدافزار VBObfus.g پروسه های آلوده زیر با نام هایی شانسی در مسیرهای زیر ساخته میشوند.
%TEMP%\3CAF2.dmp
%TEMP%\WER1A.tmp.dir00\appcompat.txt
%TEMP%\WER1A.tmp
سپس تعاریف زیر در محضر خانه (registry) سیستم ایجاد می شوند.
HKEY_CURRENT_USER\SOFTWARE\AASPPAPMMXKVS\
HKEY_CURRENT_USER\SOFTWARE\AASPPAPMMXKVS\-993627007\
از خرابکاری های بدافزار VBObfus.g می توان به تغییر تنظیمات عمومی و پیشرفته ی مرورگر سیستم عامل (Windows Explorer) اشاره نمود که بعضی از این تغییرات باعث می شود فایل های اجرایی به صورت فایل های متنی دیده شوند. به این روش، بدافزار می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند. این تغییرات با دریافت یک کد مخرب و تزریق آن در پروسه Explorer صورت میگیرد.
همچنین بسیاری از پروسه های سیستمی و پروسه هایی که در حافظه در حال اجرا هستند ممکن است توسط بدافزار دستکاری شوند.
بعلاوه این تغییرات می تواند به مخفی شدن پسوند فایل ها و دستکاری آنها منجر شود که باعث میشود فایل های اجرایی به صورت فایلهای غیراجرایی (Documents) نمایش داده شوند. کاربر بطور ناخواسته با باز کردن آنها باعث اجرای برنامه مخرب خواهد شد. تنیظیمات زیر باعث مخفی شدن پسوند فایل ها می شود.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\HIDDEN = 2
فایل سیستمی System.ini نیز توسط بدافزار VBObfus.g دستکاری میشود.
%WINDIR%\system.in
از آسیب های دیگر این بدافزار، دستکاری تنظیمات بخش امنیت سیستم عامل (Security Center) می باشد. بدافزار VBObfus.g با دستکاری تنظیمات مختلف این بخش باعث میشود تا هیچ هشدار امنیتی برای کاربر نمایش داده نشود. به عنوان نمونه، در صورتی که نرم افزار ضد ویروس و یا دیوار آتش بر روی سیستم غیر فعال شده باشند هیچ پیغامی نمایش داده نمیشود و کاربر متوجه نخواهد شد. این عمل با دستکاری تنظیمات زیر در Registry صورت میگیرد.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\ANTIVIRUSDISABLENOTIFY = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\ANTIVIRUSOVERRIDE = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\FIREWALLDISABLENOTIFY = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\FIREWALLOVERRIDE = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\UACDISABLENOTIFY = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\UPDATESDISABLENOTIFY = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\SVC\ANTIVIRUSDISABLENOTIFY = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\SVC\ANTIVIRUSOVERRIDE = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\SVC\FIREWALLDISABLENOTIFY = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\SVC\FIREWALLOVERRIDE = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\SVC\UACDISABLENOTIFY = 1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SECURITY CENTER\SVC\UPDATESDISABLENOTIFY = 1
بدافزار VBObfus.g همچنین تنظیمات دیواره آتش (Firewall) سیستم را تغییر داده و ممکن است آنرا غیرفعال نماید. این کار با دستکاری تنظیمات زیر در Registry صورت میگیرد.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\ENABLEFIREWALL
در گونه های قبلی بدافزار VBObfus.g مشاهده شده که در صورت اتصال حافظه های قابل حمل (Flash Memory) و دیسک ها ی USB به سیستم آلوده، تمامی پوشه ها و اطلاعات موجود بر روی آن بصورت مخفی در آمده و فایل های اجرایی مخرب همنام با نام پوشه ها و فایل های مخفی شده بر روی دیسک می سازد.
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا و عدم اجرای فایل های مشکوک بر روی حافظه های جانبی، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.