ويروسی است که با دیدن کلمه spy (که کوتاه شده Spyware است) در ابتدای نام آن، باید انتظار سروکار داشتن با جاسوسی را داشته باشیم که اطلاعات مهم را از روی دستـگاه قربانی جمع آوری می کنـد تـا بـرای ویـروس نویس یا نفوذگر ارسال کند. کلمه Agent را هم می توانیم به این شکل تفسیر کنیم که این ویـروس عامل (یا مزدور بی مزد) ویروس یا بدافزار دیگری است.
به عبارت دیگر، بخشی از یک بدافزار را تشکیل می دهد که کارهای مربوط به جمع آوری اطلاعات را از روی دستگاه قربانی و ارسال آن به بیرون، بر عهده دارد. این ویروس بیش از همه، در خدمت بدافزار مشهور زئوس (Zeus) و محفل (bot) شیطانی آن بوده است. هدف نهایی این ویروس دزديدن نام های کاربری و رمزهای مربوط به حساب های بانکی ذخيره شده بر روی کامپيوتر قربانی است و در کنار ویروس هایی مانند PWS-Zbot (که هفته های پیش به آن پرداختیم) به این کار اقدام می کند. دو حرف bw هم نشان دهنده آن است که این ویروس یکی از گونه های فراوان ویروس عمومی Spy-Agent است.
ویروس Spy-Agent.bw گرچه در چند ماه ابتدای تولدش در اسفند 1385 با درجه خطر کم معرفی شد، اما حدود سه سال است که به خاطر افزایش فعالیت آن، به درجه بالاتر (Low-Profiled) ارتقا یافته است. بالا بودن فعالیت ویروس هم مربوط به استفاده از آن در بدافزار زئوس است.
بدافزار زئوس مدتها است که به یکی از خبرهای اصلی رسانه ها و سایت های مربوط به امنیت اطلاعات تبدیل شده است. در آخرین رویداد، اخیراً نیروهای امنیتی دولت آمریکا 90 نفر از خلافکارانی را که به شکل محفلی از این طریق به فعالیت مشغول بودند، ردیابی و با کمک سایر کشورها در آمریکا، انگلیس و اکراین دستگیر کردند. این افراد با استفاده از بدافزار زئوس که ویروس مورد بحث ما هم جزیی از آن است، حدود 70 میلیون دلار از حساب های بانکی دزدی کرده اند.
این در حالی است که چند روز قبل از آن، پلیس انگلیس از حملات این بدافزار از طریق تلفن های همراه خبر داده بود. این حملات برروی تراکنش هایی انجام می شد که از رمز یکبار مصرف ارسالی از سوی بانک از طریق پیامک (SMS) استفاده می کردند.
این روش برای تایید کاربر از دو مسیر جداگانه و در نتیجه بالا بردن امنیت مالی کاربران، توسط برخی از بانک ها استفاده می شود. اگر کاربر پیش از این، پیامک آلوده حاوی ویروس را دریافت و بر روی پیوند موجود برروی آن کلیک کرده باشد، هر بار که پیامکی از سـوی بانک به کاربر ارسال می شود، یک کپی از آن توسط ویروس به تلفن ویروس نویس فرستاده می شود تا او بتواند با استفاده از آن، تراکنشی را با بانک عامل از طرف فرد قربانی انجام داده و حساب او را خالی کند.
بازار سوءاستفاده های مالی توسط محفل زئوس (Zeus bot) آنچنان بالا گرفته است که مدتها است ابزارهایی (Toolkit) برای ساخت گونه های دلخواهی از این بدافزار به بازار آمده است که قیمتهایی بین 700 تا سه هزار دلار دارند! این ابزارها با تشریفاتی که آدمی را یاد پنهان کاریهای گروههای مافیا و گانگسترها می اندازد، فروخته شده و خریدار آن می تواند با استفاده از امکانات فراوان آن ابزار، بدافزارهای دلخواه خود را ساخته و با انتشار آن، محفلی برای دزدی و خلافکاری برای خود ایجاد کند.
ویروس Spy-Agent.bw مانند سایر گونه های مشابه، عملکرد “اسب تروا” (Trojan) دارد. اسب های تـروا بـرنـامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی می کند.
اسب های تروا بر خلاف ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی، تنها حذف فايل آن لازم است.
فایل آلوده به این ویروس در هنگام بازدید کاربر از یک سایت آلوده برروی دستگاه کاربر کپی و اجرا می شود. اگر سیستم عامل و مرورگر دستگاه مجهز به آخرین اصلاحیه ها (Patch) نباشند، این کار ممکن است به شکل خودکار و بدون اجازه کاربر صورت گیرد. در صـورت به روز بـودن سیستم عامل و مرورگر نیز، پیام ها و آگهی های سایت ها، کاربر را به دریافت فایل آلوده ترغیب می کنند. در این حالت کاربر ممکن است بخاطر کنجکاوی، اجازه انتقال فایل و اجرای آن برروی دستگاه خود را بدهد.
این ویروس همچنین از ارسال نامه های الکترونیکی برای آلوده سازی کاربران استفاده می کند. برخی از این نامه ها در عنوان (Subject) خود، شماره رهگیری یک بسته پستی پیشتاز را دارند که ظاهراً از سوی یکی از شرکتهای پستی بین المللی (مانند DHL یا UPS) ارسال شده است. به این شکل، کاربر ترغیب می شود تا از چند وچون این بسته پستی سر در بیاورد. این شماره رهگیری جعلی بوده و در صورت فریب کاربر و بازکردن پیوست نامه، دستگاه وی آلوده خواهد شد.
نامه های دیگری نیز حاوی فایل آلوده به این ویروس فرستاده شده است که در آنها ذکر شده که تنظیمات سرویس دهنده پست الکترونیکی کاربر تغییر کرده و برای توضیحات بیشتر باید برروی پیوند (Link) ذکر شده در نامه کلیک شود. اگر کاربر اغفال شده و برروی این پیوند کلیک کند، فایل آلوده از اینترنت دریافت و بر روی دستگاه وی قرار خواهد گرفت. اینجا است که هوشیاری کاربر در پیشگیری از آلودگی، مشخص می گردد.
ویرویس Spy-Agent پس از مستقر شدن در دستگاه آلوده با دستکاری در محضرخانه (Registry) تلاش می کند دیواره آتش (Firewall) در سیستم عامل Windows را غیرفعال کند تا بتواند بدون مزاحمت به کارش ادامه دهد.
همچنین با تغییراتی در مدخل “Userinit” در مسیر زیر از محضرخانه، با هربار راه اندازی سیستم عامل درون حافظه دستگاه قرار می گیرد.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
مدخل مزبور برای معرفی پروسه ای استفاده می شود که وظیفه آماده سازی اولیه (Initialization) سیستم عامل را به عهده دارد. پروسه ای که معمولا در این مدخل معـرفـی می شود، یکی از پروسه های اساسی سیستم عامل بنام “userinit.exe” است. گونه هایی از ویروس Spy-Agent خود را دقیقاً به جای پروسه “userinit.exe” قرار می دهند و گونه های دیگری با قراردادن نام خود در جلوی نام پروسه “userinit.exe” اقدام به تزریق خود در این پروسه می کنند.
در حالت دوم، یافتن پروسه مربوط به ویروس از طریق ابزارهایی مانند Task Manager امکان پذیر نبوده و این ضدویروس است که باید پروسه تزریق شده را شناسایی و آنرا از دل پروسه اصلی سیستـم عامل بـیـرون بکشد. گـونه های دیگری هم از این ویروس کشف شده اند که عملیـات تـزریـق را برروی پروسه های دیگر سیستم عامل مـانـنـد “svchost.exe” و “Winlogon.exe” صــورت مـی دهند.
برای پیشگیری از آلودگی به این ویروس علاوه بر به روز نگه داشتن ضدويروس، توصیه می شود نصب آخرين اصلاحيه های سيستم عامل در زمان مناسب مورد توجه قرار گیرد.
استـفـاده از امکانات پیشگیرانه مانند آنچه در بخش Access Protection ضدویروس McAfee VirusScan وجود دارد، جلوی برخی از روش های انتشار و اقدامات خلافکارانه آن را می گیرد. همچنين مشترکينی که از ضدويروس McAfee با حداقل DAT 6131 استفاده می کنند از گزند اين ويروس در امان خواهند بود.