بدافزار W32/Duel
بدافزاری از نوع “کرم” (Worm) است که درجه خطر کم (Low) دارد. گونه های جدید این بدافزار در بهمن ماه سال جاری (1392) مشاهده شده است. این ویروس پس از آلوده کردن سیستم، از دستگاه آلوده اقدام به ارسال نامه های الکترونیکی به نشانی های شانسی می نماید.
نامگذاری ها
اين بدافزار با نامهای زير توسط انواع محصولات ضدويروس شناسايی می شود.
McAfee: W32/Duel
Avast: Win32: Sality
Avira: WORM/Patched.Ren.Gen
Kaspersky: HEUR: Trojan.Win32.Generic
Microsoft: virus:win32/duel.a@mm
Symantec: W32.Mixor
Eset: Win32/LoveLetter
Norman: win32/XWorm.A
Sophos: Mal/EncPk-GT
Trend Micro: Mal_Xed-3
انتشار
این بدافزار از روشهای متعددی برای انتشار استفاده می کند. انتشار از طریق دیسک های USB قابل حمل، CDهای قابل نوشتن (Writable) و همچنین انتشار بر روی شاخه های اشتراکی در محیط شبکه های محلی (LAN)، نمونه هایی از روشهای انتشار این بدافزار می باشد.
خرابکاری
پس از آلوده شدن دستگاه، فایل های مخرب بسیاری بر روی دستگاه آلوده ایجاد می شود. در زیر به نام و مسیرهای فایل های مخرب اشاره شده است.
– C:\yiyaibyqy.ajq
– C:\irrqyrabr.rar
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \iaqjjrrzq.yja
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader \arqqjyzbz.byq
– %PROGRAMFILES%\Adobe\Reader 9.0\Setup Files\ {AC76BA86-7AD7-[private subnet]-A92000000001}\qjbyjzbyj.aya
– %ALLUSERSPROFILE%\Application Data\Adobe \Reader\9.2\ARM\ARM Update\aarizarrr.zii
– %ALLUSERSPROFILE%\Application Data\Adobe \Reader\9.2\ARM\ARM Update\arqqjyzbz.byq
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader \irrqyrabr.rar
– %COMMONPROGRAMFILES%\Microsoft Shared \OFFICE11\ribyqabij.raz
– %COMMONPROGRAMFILES%\Adobe\ARM\1.0 \ribyqabij.raz
– %WINDIR%\ehome\qqjyzbzby.qqj
– %COMMONPROGRAMFILES%\Microsoft Shared \DW\irrqyrabr.rar
– %WINDIR%\Installer\{901[private subnet] -11D3-8CFE-0150048383C9}\byjzbyjay.aya
– C:\ribyqabij.raz
– %PROGRAMFILES%\MSN\MSNCoreFiles \yarabriaz.zzayrabr.rar
– C:\aarizarrr.zii
– %WINDIR%\Installer\{901[private subnet] -11D3-8CFE-0150048383C9}\rizarrrzi.iir
– %PROGRAMFILES%\Messenger\irrqyrabr.rar
– C:\arqqjyzbz.byq
– C:\qjbyjzbyj.aya
– %PROGRAMFILES%\Adobe\Reader 9.0 \Reader\ribyqabij.raz
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader\aarizarrr.zii
– %COMMONPROGRAMFILES%\Microsoft Shared \Source Engine\iaqjjrrzq.yja
– %COMMONPROGRAMFILES%\Microsoft Shared \OFFICE11\yarabriaz.zza
– %PROGRAMFILES%\MSN\MSNCoreFiles\Setup \ribyqabij.razrar
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \yiyaibyqy.ajq
– %WINDIR%\Installer\{901[private subnet] -11D3-8CFE-0150048383C9}\rqyrabrra.rar
– %ALLUSERSPROFILE%\Application Data\Adobe \Reader\9.2\ARM\ARM Update\irrqyrabr.rar
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader \qjbyjzbyj.aya
– %WINDIR%\Installer\{901[private subnet] -11D3-8CFE-0150048383C9}\qqjyzbzby.qqj
– C:\iaqjjrrzq.yja
– %ALLUSERSPROFILE%\Application Data\Adobe \Reader\9.2\ARM\ARM Update\iaqjjrrzq.yja
– C:\qajqrzqyj.aaa
– %WINDIR%\Installer\{901[private subnet] -11D3-8CFE-0150048383C9}\yaibyqyaj.qia
– %PROGRAMFILES%\Windows NT \yzqyqaqbb.aiy
– C:\rqyrabrra.rar
– %WINDIR%\xwrm.exe
– %WINDIR%\Installer\{901[private subnet] -11D3-8CFE-0150048383C9}\byqabijra.zyi
– %COMMONPROGRAMFILES%\Adobe\ARM\ 1.0\yarabriaz.zza
– %PROGRAMFILES%\MSN\MSNCoreFiles\ arqqjyzbz.byqyrabr.rar
– %WINDIR%\Installer\{901[private subnet]- 11D3-8CFE-0150048383C9}\qjjrrzqyj.aaa
– %TEMP%\jayzjz.zyi
– %COMMONPROGRAMFILES%\Adobe\ Updater6\aarizarrr.zii
– %WINDIR%\Microsoft.NET\Framework\ rizarrrzi.iir
– %COMMONPROGRAMFILES%\Adobe\ ARM\1.0\yiyaibyqy.ajq
– %PROGRAMFILES%\Adobe\Reader 9.0\ Reader\yarabriaz.zza
– %PROGRAMFILES%\MSN\MSNCoreFiles\ qjbyjzbyj.ayayrabr.rar
– C:\yarabriaz.zza
– %PROGRAMFILES%\MSN\MSNCoreFiles\ yiyaibyqy.ajqij.razrar
– %PROGRAMFILES%\Adobe\Reader 9.0\ Reader\iaqjjrrzq.yja
– %PROGRAMFILES%\Microsoft Office\ OFFICE11\irrqyrabr.rar
– C:\ybzaairqq.jzb
– WINDIR%\Installer\{901[private subnet] -11D3-8CFE-0150048383C9}\rabriazzz.ari
سپس با انجام تغییرات زیر در Registry، در هر بار راه اندازی مجدد سیستم، فایل آلوده xwrm.exe اجرا می شود.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\RUN\X32X = %WINDIR%\xwrm.exe
بدافزار Dual پس از آلوده نمودن سیستم اقدام به جمع آوری نشانی های ایمیل موجود در نرم افزارهای ارسال ایمیل که کاربر از آنها استفاده می کند، نموده و بصورت شانسی برای این نشانی ها و سایر نشانی هایی که در دامنه محلی هستند، ایمیل ارسال می کند. در ایمیل هایی که توسط بدافزار ارسال می شوند، نشانی فرستنده و گیرنده بصورت شانسی انتخاب می شوند.
در قسمت موضوع ایمیل های ارسالی عبارات زیر مشاهده شده اند.
Mail delivery failure
Me and you
My heart
Thee and me
در متن اصلی ایمیل های ارسالی مطالبی اکثرا با مضمون عاشقانه وجود دارد و سعی می شود تا کاربر ترغیب و وسوسه به کلیک کردن بر روی پیوند (link) مخرب در ایمیل شود. در این ایمیل ها، متن های زیر مشاهده شده است.
1- The server could not fully receive an email message which someone trying to send you. The incomplete message has been added as attachment.
2- My love, I have tried with all my being to grasp a form comparable to thine own, but nothing seems worthy;
3- A special world for you and me A special bond one cannot see It wraps us up in its cocoon and holds us fiercely in its womb.
4- I love the way you touch me, always sending chills down my spine. I love that you are with me, And glad that you are mine.
بدافزار W32/Duel در محیط شبکه های محلی نیز با جستجوی شاخه های اشتراکی تلاش می کند فایل های مخرب خود را بر روی این شاخه ها کپی نماید.
پيشگيری
استفاده از رمزهای عبور قوی و عدم به اشتراک گذاری تمام درايوها، از نکات اوليه برای پيشگیری در مقابل بدافزارهای از نوع “کرم” می باشد. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين نوع بدافزارها محافظت کند.