ویروس W32/Autorun.worm.c

ويروسی است که با زبان برنامه نویسی Visual Basic نوشته شده و عملکرد “کرم” (Worm) دارد. این ویروس در سيستم عامل Windows از نوع 32 بيتی فعال می شود.
از سوی دیگر وجود کلمه Autorun در نام این ویروس بدان معنی است که در صورت اجرای فايل آلوده بر روی دستگاه، فايلی بنام autorun.inf توسط ويروس در ريشه درايوهای ديسک سخت (درايـوهـای C و D و …) و ابـزارهـای ذخيـره سازی USB ايجاد می شود. در برخی از گونه های این ویروس، در صورت وجود شاخه های اشتراکی  (Shared folders) فـایـل autorun.inf بر روی آنها نیز کپی می شود.
درون اين فايل، نام فايل اجرايی ويروس مانند wmimgmt.exe (در آخرين گونه مشاهده شده) آورده شده است. به همین دلیل کامپيوتر آلوده می تواند هر ديسک USB را  که به آن کامپيوتر وصل شود، آلـوده کنـد. در گونه هایی از اين ويروس که از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه، اقـدام بـه تکثير خود می کند، دستگاه های دیگر شبکه نیز که از این شاخه ها استفاده می کنند، در معرض آلودگی قرار می گیرند.

در بسیاری از گونه های این ویروس فایل آلوده به صورت پنهان (Hidden) در شاخه ای پنهان با نام Recycler  برروی درایوها کپی می شوند. کاربرانی که متوجه این اقدام ویروس و برخی ویروس های مشابه شده اند، بعضاً نام این ویروس را ویروس Recycler می نامند. این نامگذاری غیرکارشناسانه، گاهی سبب اشتباه کاربران می شود تا وجود شاخه Recycler برروی هر درایوی را به معنی آلوده بودن آن دستگاه بدانند! در حالیکه شاخه پنهان Recycler حاوی فایل ها و شاخه هایی است که از روی آن درایو حذف شده و در بخش بازیافت (Recycle Bin) قرار گرفته اند.

بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی ویژه ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهند. منظور از شاخه های اشتراکی ویژه، آنهایی هستند که گرچه بر روی تمـام دستگاه های شبکه به صورت پیش فرض فعال هستند، اما به خاطر داشتن نویسه $ در انتهای نام خود برای سایر دستگاه ها نمایش داده نمی شود. در صورتیکه اگر کاربری مجوزهای مدیریتی بر روی دستگاه داشته باشد، از راه دور می تواند با وارد کردن نشانی مناسب، بصورت کامل به آنها دسترسی داشته باشد. مانند درایو C که با نام اشتراکی C$ در دسترس کامل مدیران شبکه ای است که مجوز مدیریتی برروی تمام دستگاه های عضو شبکه دارند. به عبارت دیگر اگر درايو C دستگاهی در شبکه، برای کامپيوتر آلوده قابل دسترسی باشد، کـافـی است فايلautorun.inf  به همراه یک فایل اجرایی دیگر در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.

گونه هایی از این ویروس فراتر نیز رفته و مجموعه ای از رمزهای معمول و ساده مورد استفاده کابران را در برنامه ویروس قرار می دهند. در این حالت، در صورت که دستگاه آلوده دسترسی مدیریتی به دستگاه های دیگر شبکه نداشته باشد، شانس خود را با استفاده از این رمزها نیز امتحان کرده و در صورت موفقیت، اقدامات لازم برای انتقال آلودگی به آنها را بلادرنگ به اجرا می گذارد.

اولين نمونه ويروس W32/Autorun.worm.c در خرداد ماه 1386 مشاهده شد و در طی در سال های اخیر گونه های فراوان جدیدی از آن مشاهده شده است. همچنین کد اصلی این ویروس به دست برخی از ویروس نویسان ایرانی هم رسیده، بطوریکه در این مدت گونه هایی از این ویروس کشف شده که با توجه به پیام های مـوجـود در آن و یا سایت هایی که ویروس به آن مراجعه می کند، ایرانی به نظر می رسیدند. با همه این اوصاف میزان انتشار این ویروس در دنیا کم بوده و بنابراین با درجه خطر کم (Low) معرفی شده است.

با توجه به فراوانی گونه های این ویروس اگر بخواهیم از شیرین کاری های آن یاد کنیم بهتر این است که بگوییم تقریبا هیچ کاری نیست که ویروس ها تاکنون انجام داده باشند و در گونه های این ویروس وجود نداشته باشد! به برخی از مهمترین آنها  بصورت خلاصه اشاره می شود:

• یک کپی از ویروس با نامی شبیه شاخه های موجود در دستگاه ایجاد می شود که پسوند EXE و نشان (Icon) مربوط به شاخه ها (Folder) را دارد. شاخه های اصلی نیز از دید کاربر پنهان شده و در نتیجه کاربر، فایل های آلوده را با شاخه های حاوی اطلاعات، اشتباه گرفته و آنها را اجرا می کند. این کلک، نقش مهمی در پخش و انتشار ویروس ایفا می کند. البته این ویروس باعث یک پیشرفت در این روش  شد و آنهم بدین صورت بود که وقتی کاربر برروی فایل اجرایی ویروس کلیک می کند، پس از اجرای ویروس، شاخه همنام فایل که کاربر به دنبال آن بوده نمایش داده می شود. با این ترفند کاربر به چیزی مشکوک نشده و به کار خود ادامه می دهد، در حالیکه ویروس هم شروع به کار کرده و خیلی سریع به کارهای مخرب خود ادامه می دهد!
• با دستکاری در محضرخانه (Registry)، ویروس کاری می کند که هیچگاه پسوند (Extention) فایلهای اجرایی (EXE) برای کاربر به نمایش در نیاید.
• پیامهای هشداری برای ترساندن کاربر برروی صفحه نمایش می دهد که مضامینی مانند “کارتو انجام بده، بازی نکن”  یا “رئیست اومد” دارد.
• با دستکاری در محضرخانه، استفاده از برخی امکانات سیستم عامل مانند برنامه ویرایشگر محضرخانه (Regedit) و نیز Task Manager را غیرفعال می کند و از طرف دیگر ردی از خود در کلید Run محضرخانه می گذارد تا با هربار راه اندازی دستگاه، درون حافظه قرار گیرد.
• یک “در پشتی” (Backdoor) بـر روی دستـگاه فـعـال می کند که چند دستور از پیش برای آن تعریف شده است تا درهنگام فراخوانی از سوی ویروس نویس، اجرا گردند. دستوراتی مانند تغییر رمز دستگاه.
• تلاش می کند به برخی از سایت های از پیش آماده شده وصل شود و آخرین نگارش های ویروس را دریافت و خود را ارتقاء دهد.
• با دست اندازی به محضرخانه سیستم عامل برخی از تنظیمات مربوط به شبکه و پودمان های HTTP و TCP/IP را تغییر می دهد تا آسوده تر بتـواند بـه اعمـال پلیـدش ادامـه دهد.
• گونه هایی از این ویروس فایلهای صوتی تصویری فراوانی را همزمان و در پشت صحنه از سرویس دهنده های اشتراک فایل دریافت می کند. شدت این کار به حدی است که هم ترافیک زیادی برروی پهنای باند اینترنت تحمیل می کند و هم دستگاه آلوده را از انجام کارهای معمول باز می دارد.
• فایل hosts برروی دستگاه آلوده را تغییر می دهد تا درخواستهای کاربر به برخی از سایتها (مانند سایتهای مربوط به شرکتهای تولید کننده ضدویروس) به سایت دیگری هدایت شود. گاهی نیز ترافیک مربوطه به ناکجا آباد حواله شده و بنابراین کاربر هنگام وصل شدن به برخی سایتها مانند Microsoft.com یا McAfee.com یا مانند آن با پیغام “The Page cannot display”  مواجه می شود.
• ویروس به نام سرویس های مربوط به نرم افزارهای امنیتی حساس بوده و با مشاهده آنها تلاش می کند نابودشان (Terminate) کند.
• با اجرای دستوری برروی دستگاه آلوده، دسترسی به شاخه های اشتراکی آن را ممنوع می کند.

گونه های از این ویروس از طریق شبکه های اجتماعی مانند Facebook، Twitter  ، Yahoo Messenger و  MSN  نیز منتشر شده است. به شکلی که با دنبال کردن پیوند (Link) مربوط به ویروس، دستگاه کاربر آلوده شده و پس از آن با دریافت فایل های متعدد از سـرویس دهنـده های آمـاده شده توسط ویـروس نویس، دستگاه قربانی را تقریبا از کار می اندازد.

بکارگيری رمزهای ضعيف (Weak Password) برروی دستگاه های شبکه کار انتشار ویروس W32/Autorun.worm.c و سایر ویروسهای مشابه را آسان می کند. این در حالی است که بسیاری از کاربران ( و متاسفانه برخی از کارشناسان شبکه) در هنگام نصب سیستم عامل اگر اجازه داشته باشند (مانند سیستم عامل XP یا قبل از آن) از رمز خالی (Blank) برای کاربر Administrator استفاده می کنند و نهایتاً (در سیستم های عامل جدیدتر مانند Vista و Seven) رمزهای قابل حدس را بکار می برند!

نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته بروزرسانی (Service Pack) شماره 3 سيستم عامل Windows XP، به همراه اصلاحیه های (Patch) منتشر شده پس از آن یا بسته بروزرسانی شماره 2 سیستم عامل Windows Vista به همراه اصلاحیه های پس از آن، کمک زیادی در پیشگیری از آلودگی به این کرم و کرم های مشابه خواهد کرد. بدیهی است که کاربران سیستم عامل Windows 7 نیز باید از نصب آخرین اصلاحیه های منتشر شده، اطمینان حاصل کنند.
همچنين استفاده از تنظيمات تـوصيـه شـده تـوسـط کارشنـاسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee VirusScan، در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های بروزرسانی DAT 6130 قادر به شناسایی و پاکسازی تمام گونه های کشف شده این ویروس است.