ویروس W32/Rontokbro@MM

گرچه حدود پنج سال است که از انتشار اولین گونه از ویروس W32/Rontokbro@MM می گذرد، اما گونه های مختلف آن هنوز هم در گوشه و کنار دنیا دیده می شوند. این ویروس برروی سیستم عامل Windows و نسخه های 32 بیتی آن فعال می گردد. نام ویروس (Rontokbro) برگرفته از نام یک خواننده در مالزی است که در اولین گونه های آن ادعا می شد، حاوی تصاویر و اخباری از او می باشد. به همین دلیل مبدا انتشار ویروس W32/Rontokbro@MM را کشور مالزی می‏دانند.

عبارت @MM در انتهای نام این ويروس به معنی آنست که این ویروس پس از آلوده کردن یک دستگاه، اقدام به ارسال نامه های الکترونیکی فراوانی می کند که حاوی پیوستی (Attachment) آلوده به ویروس هستند. به اینگونه ویـروس هـا “ارسـال کنندگـان انبـوه” (Mass Mailer) مـی گویند. نشانی هایی که ویروس به آنها نامه می فرستد با جستجو در اطلاعات موجود بر روی دستگاه قربانی بدست می آید. قاعدتاً این ویروس یا ویروس های مشابه، بدنبال نویسه @ درون اطلاعات دستگاه می گردند تا نشانی های مورد نظرشان را بیابند. معمول ترین اطلاعاتی هم که مورد جستجو قرار می دهند، محتویات نامه های ذخیره شده در دستگاه و نیز صفحات اینترنتی موجود در حافظه موقت (Cache) مرورگر اینترنت می باشد. با توجه به این موضوع اگر دیدید برروی برخی از سایت ها در هنگام نمایش نشانی پست الکترونیکی بجای نویسه @ از کلمه at استفاده می شود، بدانید برای فرار از فضولی های این ویروس ها و همچنین فرستندگان هرزنامه می باشد.

ويروس Rontokbro جهت تشويق دريافت کننده نامه برای اجرای فايل آلوده پيوست (ويروس) از روشهای مهندسی اجتماعی (Social Engineering) استفاده می کند. به این معنی که از عناوین جذاب برای نامه های ارسالی به کاربران استفاده می کنند تا کاربر ترغیب به خواندن نامه و باز کردن پیوست آن شود.

روش های انتشار ایـن ویروس فقط به انتشار از طریق نامه های الکترونیکی محدود نمی شود، بلکه دستگاه آلوده به دنبال شاخه های اشتراکی (Share) برروی دستگاه های دیگر شبکه می گردد و در صورت داشتن مجوز نوشتن برروی این شاخه ها، نسخه هایی از خود را برروی آنها کپی می کند. این فایل های کپی شده از آنجا که شکلک (Icon) شبیه شاخه ها (Folder) را دارند، ممکن است از سوی کاربران به عنوان شاخه تلقی شوند  و در نتیجه هنگامیکه بخواهند وارد آن شوند، در واقع فایل ویروسی را اجرا کرده و دستگاه خود را آلوده می کنند. این رفتار هم نشان دهنده جنبـه دیـگـری از روش هـای مهـنـدسـی اجتـماعی (Social Engineering) مورد استفاده ویروس نویس می‏باشد. در بسیاری از موارد، نام فایلی که کپی می شود، New Folder.exe می باشد. انتخاب این نام برمی گردد به عادت بیشتر کاربران که درهنگام ایجاد یک شاخه جـدیـد، نـام پیش فرض New Folder را که سیستم عـامـل پیشنـهاد می دهد تغییر نمی دهند. در اینحالت نیز، به ویژه اگر پسوند (Extension) فایل ها نمایش داده نشود (که بصورت پیش فرض هم نشان داده نمی شود) کاربر آنرا شاخه جدیدی فرض می کند و به دنبـال دیـدن محتـویات آن می رود. اما با کلیک برروی آن، به جای دیدن محتویات یک شاخه، یک فایل آلوده اجرا می‏گردد.

بیشتر گونه های اين ويروس دیسک های قابل حمل (Flash Disk) نیز برای انتشار خود سوء استفاده می کنند. در این روش، از طريق کپی کردن فايل آلوده به همراه يک فايل autorun.inf به روی دیسک های قابل حمل (Flash Disk)، به محض اتصال این دیسک به هر کامپیوتر سالم، فایل خوداجرای autorun.inf اجرا شده و فایل آلوده به ویروس را به نوبه خود به اجرا در می آورد. . این روش طی این سالها به یک شیوه ماندگار در بین ویروس نویس ها درآمده است!

برخی گونه های اولیه این ویروس، بسته های (Packet) داده بزرگی برای سایت دولتی رژیم اشغالگر قدس به نشانی israel.gov.il می فرستادند. ولی با وجود آمار بالای آلودگی به این ویروس در قاره آسیا، اثر چندانی برروی آن سایت اسرائیلی نداشت. این ویروس با دست اندازی به محضرخانه (Registry)، مقدار “یک” را برای مدخل NoFolderOptions در مسیر زیر تنظیم می کند.

Hkey_Current_UserSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

با ایـن کار گزینه Folder Options از منوی Tools  پنهان می شود که در نتیجه کاربر نمی تواند از آنجا، امکان نمایش فایل های ویروس را که بصورت پنهان (Hidden) هستند، فعال کند. همچنین با تغییر مقدار مدخل DisableTaskMgr به مقدار “یک” در مسیر زیر از محضرخانه، امکان اجـرای برنامه Task Manager موجود در سیستم عامل را از بین می برد:

HKEY_CURRENT_USERS-1-(Varies)Software MicrosoftWindowsCurrentVersionPoliciesSystem

همچنين ويروس Rontokbro، با دستکاری کلید Run در محضرخانه، خود را در هر بار راه اندازی دستگاه به سيستم عامل تحمیل می کند.

یکی از دردناکترین کارهای این ویروس، غیرفعال کردن امکان اجرای برنامه “ویرایشگر محضرخانه” (Regedit.exe) است. این خرابکاری از آن جهت دردناک است که نمی توان محضرخانه را ویرایش کرد و آنرا به حالت اولیه برگرداند. با اختصاص مقدار “یک” به مدخل DisableRegistryTools در مسیر زیر از محضرخانه، اینکار صورت می گیرد و برای برگرداندن آن نیاز به اجرای اسکریپتی بر روی دستگاه آلوده می باشد.

HKEY-LOCAL-MACHINESoftwareMicrosoft Windows Current VersionPoliciesSystem

دستگاه آلوده به ویروس W32/Rontokbro@MM به نحوی فایل hosts را دستکاری می کند که درخواست های ارسالی به سایتهای شرکت های تولیدکننده ضدویروس، مانند McAfee.com و سایرین را، به نشانی 127.4.7.4 هدایت می کند. این نشانی مربوط به خود دستگاه آلوده ( نام Localhost و نشانی 127.0.0.1) می باشد و بنابراین هر تلاشی برای مراجعه به این سایت ها برای بروزرسانی ضدویروس یا دریافت ابزارهای پاکسازی، ناکام خواهد ماند.

بسیاری از خرابکاری های این ویروس با استفاده از امکانات Access Protection ضدویروس McAfee قابل پیشگیری می باشد، به این معنی که اگر نگارش جدیدی از این ویروس منتشر شود، حتی اگر ضدویروس آنرا نشناسد، در صورت تنظیم درست، می تواند جلوی برخی از اقدامات آنرا بگیرد. از جمله این اقدامات، غیرفعال کردن محضرخانه و یا ایجاد فایلهای New Folder.exe می باشد.
آخرین نگارش ویروس با نام W32/Rontokbro@MM!e اخیرا کشف شد و با فایل های اطلاعاتی شماره DAT 6088 ضدویروس McAfee  شناسایی و پاکسازی می شود.

بدیهی است که برای پیشگیری از آلودگی به این ویروس، توجه به توصیه های ایمنی بسیار موثر خواهد بود. اینکه پیوست نامه های مشکوک را باز نکنیم یا برروی فایل های مشکوکی که مربوط به ما نیست، کلیک نکنیم. ضدویروس را بروز نگه داریم و مانند اینها.