نماد سایت اتاق خبر شبکه گستر

بدافزار Vundo

چيست؟

بدافزاری با درجه خطر کم و از نوع “اسب تروا” (Trojan) است. این بدافزار پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه آلوده از راه دور استفاده گردد.

اولین نمونه ی این ويروس در دی ماه سال 1387 مشاهده شد که اقدام به جمع آوری نتایج جستجوی کاربر در اینترنت می نمود و براساس این اطلاعات پیغام ها و تبلیغات خاصی را نمایش می داد. از آن زمان تاکنون، نگارش های بسیاری از این بدافزار منتشر شده است. آخرین نمونه های این اسب تروا در آذر ماه سال جاری (1392) مشاهده شده است. در حال حاضر شدت آلودگی به این ویروس در خاورمیانه کم است.

 

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار بدافزار Vundo نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

 

نامگذاری

اين بدافزار با نام های زير توسط ضدويروس های مختلف شناسايی می شود.

 McAfee: Vundo!C31D1061FEEE
ahnlab: Trojan/Win32.Agent
avast: Win32:Malware-gen
avira: TR/Vundo.A.4755
Kaspersky: HEUR:Trojan.Win32.Generic
Dr.Web: Trojan.WinSpy.1014
Microsoft: Trojan:Win32/Vundo
Eset: Win32/Kryptik.BCOI

 خرابکاری

با اجرای نسخه های قدیمی اسب تروای Vundo، یک فایل سیستمی DLL بصورت رمزنگاری شده بر روی سیستم ایجاد می شد که با اجرای آن بدافزار در حافظه بارگذاری شده و اقدام به دریافت ابزار های تبلیغاتی مزاحم (Adware) می نمود.

در نگارش جدید پس از آلوده شدن سیستم، رونوشتی از بدافزار در یک فایل در مسیر زیر ساخته میشود.

%WINDIR%\SYSTEM32\fdeployy.exe

 همچنین فایل زیر به صورت موقت در سیستم ساخته می شود.                       

%TEMP%\~unins6580.bat

پس از آلوده شدن سیستم، اسب تروا ی Vundo تلاش می کند با یک سایت ارتباط برقرار نموده و سپس عملیات امنیتی مخربی از قبیل دریافت و اجرای دیگر بدافزارها را بر روی سیستم انجام دهد.

فرامین زیر توسط بدافزار در محضرخانه (Registry) سیستم ساخته می شود.

HKEY_CURRENT_USER\SOFTWARE\XFFNHFHAM\
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\
HKEY_LOCAL_MACHINE\SOFTWARE\XFFNHFHAM\

 همچنین با ایجاد دستور زیر در محضر خانه سیستم، با هر بار راه اندازی مجدد سیستم، فایل آلوده fdeployy.exe اجرا می شود.

 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\AFXIY= %WINDIR%\SYSTEM32\fdeployy.exe

بعلاوه با اجرای مرورگر IE تلاش می شود با نشانی های زیر ارتباط برقرار گردد.

hxxp://somethingclosely.com
hxxp://ads.alpha00001.com
hxxp://storage1.static.itmages.ru
hxxp://storage5.static.itmages.ru

با تغییر دستور زیر، تنظیمات پیش فرض مرورگر IE توسط بدافزار Vundo تغییر داده می شود. این کار ممکن است به منظور ایجاد ارتباط با سایت های خاص و دریافت بدافزارهای بیشتر صورت می گیرد.

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS

اسب تروا ی Vundo همچنین تلاش می کند با نشانی زیر ارتباط برقرار نماید.

93.115.88.***:80

 

 پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازدید سایت های ناشناخته و بازکردن پیوست نامه های مشکوک و استفاده از رمز های عبور قوی، همگی با هم می توانند خطر آلوده شدن به اين بدافزار و يا گونه های مشابه را به حداقل برساند.

خروج از نسخه موبایل