Rimecud ويروسی با درجه خطر کم است که البته در سال جاری میلادی به خاطر شدت عملکردش به درجه بالاتر (Low-Profiled) هم ارتقا یافته است. برخی از کارشناسان، شلـوغ کاری های ایـن ویـروس را دلیل دستگیری سـه تن از سرحلقه های این محفل مجازی (Botnet) در اسپانیا دانسته اند. این رویداد خوشحال کننده در کمتر از یکسال از پیدایش اولین نمونه این ویروس رخ داد. با کمک سه نفر دستگیرشده، محفل مزبور که به نام Mariposa از آن یاد می شد، با ارسال دستـور تـوقـف فعالیت بـرای تمـام رایانه های قربانی، تعطیل شد. البته با وجود دستگیری این سه نفر هنوز هم تحرکاتی از سـوی ایـن ویـروس دیـده می شود که آنرا می توان به حساب انتقام گیری یا تلاش برای زنده ماندن از سوی بقیه گردانندگان این محفل دانست.
تا زمان توقف، این محفل مجازی موفق به یارگیری از حدود سیزده میلیون رایانه در سراسر دنیا شده بود. همچنین تعداد قابل توجهی از دستگاه های آلوده شده متعلق به بزرگترین شرکتهای دنیا (که قاعدتاً در بین آنها نام برخی از غولهای دنیای رایانه هم وجود دارد) بوده اند. گفته شده نیمی از هزار شرکت برتر دنیا (که توسط موسسه Fortune رده بندی می شوند) حداقل یک دستگاه عضو این محفل داشته اند!
عملکرد این ویروس به “کرم” شباهت داشته و از طریق روش های متعددی از جمله موارد زیر انتشار می یابد:
- دیسک های USB قابل حمل (Flash Disk)
- سایت های اشتراک فایل (مانند eMule و Kazza )
- در شبکه های محلی (LAN) برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند
- در سایت MSN برای کاربران آن ارسال می شود
این ویروس پس از مقیم شدن در حافظه به منظور دریافت فایل های ویروسی جدیدتر و دستورالعمل های محفلی، درگاه (Port) هایی را برروی دستگاه آلوده بازمی کند. شماره این درگاه در نگارش های گوناگون این ویروس متفاوت بوده و به عنوان نمونه درگاه شماره 10111 یا 53000 یا 49000 است.
تعدادی فرمان از پیش آماده شده در تمام نگارش های ویروس W32/Rimecud وجود دارد که قابلیت فراخوانی توسط گردانندگان محفل را دارد. با ارسال نام فرمان به همراه زمان اجرای آن، دستگاه آلوده در زمان تعیین شده اقدام به اجرا خواهد کرد. برخی از این فرامین عبارتند از:
- استخراج و ارسال رمزهای عبور ذخیره شده در مرورگرهای Firefox و Internet Explorer
- دریافت (Download) یک فایل
- قراردادن یک کپی از ویروس بر روی شبکه های اشتراک فایل (P2P)
- ارسال یک کپی از ویروس به سایت MSN
- انتشار از طریق دیسک های قابل حمل USB
- حمله برای از کار انداختن (Denial of Service) یک سایت. وقتی همزمان به تمام یا بخشی از رایانه های میلیونی عضو محفل، دستور از کار انداختن سایتی داده شود، میزان داده های ارسالی به سایت هدف آنقدر زیاد می شود که می تواند استفاده دیگران از آن سایت را محدود یا غیرممکن کند.
همچنین ویروس به شکل پیش فرض، نشانی چند سایت را درخود دارد که برای ارتقاء یا دریافت نگارش های جدید به آن مراجعه می کند. این چند سایت شناسایی شده، در حال حاضر مسدود هستند.
در آخرین نگارش این ویروس، فایلی به نام ctfmon.exe در شاخه Profile کاربر فعلی ایجاد می شود که همنام مرحله مهمی در سیستم عامل است. استفاده از مراحل همنام سیستم عامل برای رد گم کردن، روش قدیمی است و سابقه طولانی دارد و به همین دلیل، برخی از ضدویروسهای پیشرفته امکاناتی برای جلوگیری از انجام عملیات جعلی (Spoofed) در خود دارند.
ویروس W32/Rimecud برروی دستگاه آلوده، فایلی بنام Autorun.inf ایجاد می کند که در آن، نام فایل آلوده ای وجود دارد و آن را به همراه فایل آلوده، در ریشه درایوهای دیسک سخت و دیسک های USB قابل حمل قرار می دهد. ضدویروس در مواجهه با این فایل ها آنها را به نام W32/Rimecud!inf شناسایی و پاکسازی می کند. سه حرف inf در انتهای نام این ویروس اشاره به پسوند فایلهای Autorun.inf دارد. ویروس بوسیله این نوع فایلها، بر روی درایوها قـابلیت “خـوداجرایی” (Autorun) پیـدا می کند. مشابه اغلب ویروسهای امروزی، این ویروس هم در کلیـد های Run در محضـرخـانـه (Registry) مدخل هایی می سـازد تـا بـا هـر بار راه اندازی دستـگاه، در حافظه قرار گیرد.
شگرد خاصی که توسط ویروس W32/Rimecud برای پنهان شدن، استفاده می شود به این صـورت است کـه نمونه ای از خود را در مرحله Explorer.exe تزریق می کند و سپس مرحله اصلی خود را پایان می دهد. در نتیجه ویروس همیشه در حافظه وجود دارد اما وقتی کاربر به لیست مراحل در حال اجرا نگاه می کند، هیچ مرحله مشکوکی را نمی یابد. به همین دلیل ممکن است در هنگام مواجهه با آلودگی به این ویروس، نام W32/Rimecud!mem هم مشاهده شود که سه حرف mem کوتاه شده کلمه memory بوده و نشان دهنده برخورد ضدویروس با اثرات این ویروس در حافظه است.
نویسنده این کرم به این هم اکتفا نکرده و مرحله جداگانه دیگری را هم برای پاسبانی از مرحله تزریق شده در Explorer.exe ساخته و درون تمام فایلهای اجرایی (EXE) موجود در حافظه تزریق می کند. در صورتیکه مرحله Explorer.exe به روش دستی و یا توسط ضدویروس پاکسازی شود، مجدداً عمل تزریق کد آلوده در مرحله Explorer.exe صورت می پذیرد.
با تـوجه به آنکه کرم ها از هر تنظیم امنیتی نامناسبی (mis-configuration) برای انتشار بهره می گیرند، استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری بدون محدودیت درايوها، از نکات اوليه برای پيشگیری در مقابل کرم ها است. ضمن اينکه به کـاربـران نيـز توصيه می شود از كنجكاوی درباره فايل های مشكوك و يا با عناوين جذاب كه در سايت های اشتراك فايل، فراوان ديده می شوند، اجتناب کنند.
از سوی دیگر کرمهای رایانه ای علاقه زیادی به نقاط ضعف (Vulnerability) سیستم عامل و سایر نرم افزارها دارند و به همین دلیل توصیه می شود آخرین بسته های بروزرسانی (Service Pack) و اصلاحیه های (Patch) سیستم عامل و سایر نرم افزارها به موقع برروی رایانه ها نصب شوند.
باتوجه به اینکه هنوز هم از این ویروس فعالیت هایی مشاهده می شود و کارشناسان امکان حملات انتقامی را هنـوز منتفی نمی دانند، به روز نگه داشتن ضد ويـروس می تواند رایانه را در مقابل اين ويروس محافظت کند. فایلهای اطلاعاتی DAT 6120 ضدويروس McAfee فرمول شناسایی و پاکسازی تمام گونه های ویروس W32/Rimecud را در خود دارد.
شرکت مک آفی ابزاری مستقل بنام McAfee Stinger برای پاکسازی حدود دو هزار گونه از ویروس های همه گیر ارائه می کند. فرمول شناسایی و پاکسازی گونه های مختلف ویروس W32/Rinecud نیز در این ابزار وجود دارد.
برای دریافت این ابزار از نشانی زیر استفاده کنید:
http://www.sg-update.net/download/tools/stinger.exe