ویروس W32/VBMania@MM
با دیدن دو حرف VB در ابتدای نـام ایـن ويـروس متوجه می شویم که به زبان Visual Basic نـوشته شده است. وجود سه حرف @MM آنرا در دسته “ارسال کنندگان انبوه” (Mass Mailer) قرار می دهد و عبارت W32 نیز نشان دهنده فعالیت این ویروس در سيستم های عامل Windows از نوع 32 بيتی است.
ويـروس W32/VBMania@MM در عنـوان (Subject) نامه های ارسالی خود از عبارت “Here you have” استفاده می کند و به همین جهت در بسیاری از رسانه های خبری به عنوان ویروس Here you have از آن نام برده شده است. البته گونه دیگری از این ویروس هم پیدا شده که عنوان “Just For you” را در نامه های خود استفاده می کند.
در متن نامه های ارسالی، پیوندی (Link) به یک فایل PDF وجود دارد، یعنی دریافت کننده نامه، عبارتی مانند آنچه در زیر آمده می بیند:
http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf
که به شدت ظاهرالصلاح است! گویی عده ای آدم خیرخواه جمع شـده اند و برای شـادی روح امواتشان اسنـاد و فـایـل های بدردخوری را برروی دامنه Shareducoments به اشتراک گذاشته اند و فرستنده نامه نیز نشانی یکی از این اسناد را پیرو صحبت قبلی با گیرنده نامه، در اختیار او گذاشته است! تا اینجای کار که همه چیز برپایه دروغ و دغل بود اما این رشته سر دراز دارد.
نویسنده ویروس، این نامه را به گونه ای طراحی کرده است که پیوند بالا به نشانی دیگری که فایلی اجرایی ویروس در آن وجود دارد، هدایت شده است. این کار با استفاده از قواعد زبان HTML انجام می شود. اگر کاربر فایل مزبور را دریافت کند و آنرا بر روی دستگاهش ذخیره نماید، باز هم ممکن است متوجه مشکوک بودن آن نشود زیرا فایل اجرایی شکلکی (Icon) شبیه فایل های PDF دارد و اگر پسوند فایلها هم نمایش نیابد (که بصورت پیش فرض در سیستم عامل Windows نمایش نمی یابد) متوجه پسوند EXE یا SCR آن هم نمی شود.
همچنين اين ويروس از طريق کپی کردن فايل آلوده به همراه يـک فـايـل autorun.inf در حـافظه های فلش و پوشه های به اشتراک گذاشته شده (Shared Folders) در شبکه نيز اقدام به تکثير خود می کند. به همین دلیل امکان آلودگی دستگاه هایی که به اینترنت وصل نیستند نیز از این طریق وجود دارد.
پس از اجرا شدن فایل ویروسی، نسخه هایی از آن در مسیرهای مختلفی برروی دستگاه آلوده کپی می گردند. برخی از این فایلها با پسوند EXE بوده و نام برخی از آنها به عنوان مدخلی در کلید Run در محضرخانه (Registry) نیز می آید تا در هربار راه اندازی دستگاه مجدداً درون حافظه قرار گیرند.
چند فایل با پسوند SCR هم به وجود می آید که حاوی برنامه هایی به زبان Visual Basic Script بوده و اسامی غلط اندازی هم دارند. مثلا فایلی با نام “N73.Image12.03.2009.JPG.scr” کـاربـر را اغـفـال می کند که با یک عکس یادگاری سروکار دارد که مدتها پیش با گوشی نوکیا مدل N73 برداشته شده است. بویژه اگر پسوند SCR فایل نمایش نیابد و یا در صورت نمایش، کاربر از روی عجله به آن دقت نکند. این فایل به طور جداگانه با نام VBS/VBMania توسط نرم افزارهای ضدویروس شناسایی می شود. با قرار گرفتن سه حرف VBS در ابتدای نام این ویروس معلوم می گردد که اجرای آن در هر محیطی که برنامه های Script قابل اجرا باشند، از جمله مرورگرهای اینترنت، امکان پذیر است. خوانندگان می دانند که اجرای برنامه های Java Script و VB Script از محیط عامل (Platform) مستقل بوده و بنابراین استفاده از آنها به سیستم عامل Windows منحصر نمی شود.
یکی از کارهایی که برخی از ویروسهای خطرناک به آن مبادرت می کنند، دستکاری در محضرخانه برای جلوگیری از اجرای عملیات مربوط به نرم افزارهای امنیتی می باشد. ويروس VBMania هم با اضـافـه کـردن کلیدهایی در مسیر زيـر، سبب می شـود کـه اجـرای بسیـاری از عملیـات نـرم افزارهای امنیتی غیرممکن شود.
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
عملی که ویروس در این حالت انجام می دهد، آن است که کلیدهای متعددی در این مسیر می سازد که هر کدام نام یکی از عملیات نرم افزارهای امنیتی را دارد. مثلاً یکی از کلیدها به نام McShield.exe ساخته می شود که عمل اصلی ویروس یابی، در برخی از نگارش های ضدویروس McAfee است. در هر کـدام از کلیـدهای ایجاد شده هم مدخل هایی وجود دارد تا در هنگام فراخوانی سرویسی همنام کلید ایجاد شده، کنترل اجرای آنرا به دست سرویس دیگری بسپارد. این سرویس دیگر، می تواند یکی از عملیات ویروس باشد که بگونه ای طراحی شده تا اجرای سرویس فراخوان شده را عقیم بگذارد. بنابراین دستگاهی که بدین شکل آلوده شده است، امکان نصب یا اجرای نرم افزارهای ضدویروس را نخواهد داشت.
با وجود اینکه ویروس، به روشی که در بالا گفته شد، از اجرای نرم افزارهای امنیتی برروی دستگاه آلوده جلوگیری می کند، اما به این هم اکتفا نکرده و فهرستی طولانی از نام عملیات و سرویس های مربوط به نرم افزارهای امنیتی را در خود دارد که تلاش می کند در صورت شناسایی آنها برروی دستگاه آلوده، افدام به غیرفعال کردن آنها نماید.
ویروس W32/VBMania@MM با دستکاری در محضرخانه پیام های امنیتی نرم افزار Microsoft Outlook را غیرفعال می کند. به این صورت که برای مدخلی بنام ObjectModelGuard در کلید زیر، مقداری برابر صفر قرار می دهد. پس از این نرم افزار مزبور هیچ هشداری در هنگام رویدادهای مشکوک به کاربر نمایش نخواهد داد.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOffice12.0OutlookSecurity
مثل همیشه بروز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و همچنين آگاه کردن کاربران در خصوص خطر کليک بر روی پیوند های ناآشنا، می تواند عاملی مؤثر در پيشگيری از آلودگی به اين ويروس ها باشد.
خوب است در اینجا به برخی از امکانات ضدویروس McAfee در پیشگیری از آلودگی به این ویروس و یا ویروس های مشابه اشاره شود.
در بخش Access Protection ضـد ويـروس McAfee، قواعدی را می توان تعریف کرد تا از برخی اقدامات گفته شده جلوگیری شود. مثلاً در تنظیمات پیشنهادی از سوی کارشناسان شبکه گستر، قاعده اي وجود دارد که از دستکاری کلیدهای اشاره شده، جلوگیری می کند.
همچنین قاعده ای وجود دارد که از اجرای فایلهای EXE و SCR و مانند آن در محیط مرورگر یا نرم افزارهایی که کاربر در آنها نامه هایش را مشاهده می کند، جلوگیری می نماید. قاعده ای هم که از ایجاد فایل Autorun.inf در ریشه درایوها جلوگیری می کند، نقش قابل توجهی در پیشگیری از انتشار آن از طریق یک دستگاه آلوده ایفا می کند.
اين ويروس در هجدهم شهریورماه سال جاری (1389) مشاهده و به جهت گسترده آلودگی در سراسر دنیا، توسط شرکت McAfee با درجـه خطـر مـتـوسط (Medium) درجه بندی شد. شرکت McAfee برای پاکسازی سریع این ویروس، فایل های بروزرسانی DAT 6101 را به صورت فوق العاده منتشر کرد و سه روز بعد نیز با مشاهده گونه جدیدی از آن فرمول شناسایی آنرا در فایلهای اطلاعاتی DAT 6104 قرار داد.
اگر دستگاه آلوده (یا مشکوک به آلودگی) داشتید که خواستید آنرا پاکسازی کنید، از ابزار مستقل پاکسازی McAfee به نام Stinger هم می تـوانید استفاده کنید. نسخه ای از این ابزار که ویژه ویروس VBMania@MM است، در مسیر زیر قابل دریافت می باشد.
http://www.sg-update.net/download/tools/stinger-VBMania.exe
البته نسخه عمومی ابزار پاکسازی Stinger قادر به شناسایی و پاکسازی حـدود دو هـزار ویـروس مشهور و همه گیر میبـاشد که آن را نیز می توان از مسیر زیر دریافت کرد.
http://www.sg-update.net/download/tools/stinger.exe
