ویروس BackDoor-AWQ.b

ويروس BackDoor-AWQ.b با زبان برنامه نویسی دلفی (Delphi) نوشته شده است و عملکرد “اسب تروا” (Trojan) دارد. اگرچه درجه خطر این ویروس کم تعیین شده است، اما مشاهده مداوم آن در نقاط مختلف جهان، آن را از بسیـاری از سـریـال هـای تلویزیونی دنیـا، طولانی تر کرده است! به گونه ای که بیش از شش سال است نویسنده (های) این ویروس، هر از چنـد گـاهی که جدیدتـرین فناوری های ویروس نویسی را فرا می گیرند، آموخته های خود را در قالب گونه جدیدی از این ویروس منتشر می کنند..

البته با تـوجـه به قـانون بدیهی عرضه و تقاضا، کثرت گونه های این ویروس نشان می دهد که از آن در بسیاری از مـوارد به عنـوان بخشی از یک ویـروس دیـگر استـفـاده می شـود. بطـور معمـول، یک بـدافـزار (Malware) از بخش های مختلفی تشکیل شده است:

  • بخشی از یک ویروس ممکن است مانند یک درب پشتی (Backdoor) عمل کرده و از آن طریق، جدیدترین دستورات ویروس نویس را دریافت و بـر روی دستـگاه قـربـانی اجرا کند.
  • وظیفه دریافت (Download) نگارش های جدید ویروس، به بخش دیگری از ویروس محول می شود که به آن دریافت کننده (Downloader) گفته می شود.
  • گر بدافزاری دست کج و اهل دزدی باشد، ممکن است بخشی نیز برای دزدیدن رمز عبورهای ذخیره شده برروی دستگاه داشته باشد که به آن PWS (که کوتاه شده Password Stealer است) می گویند.
  • حتی در بسیاری از موارد برای آسان کردن مراحل آلوده سازی دستگاه ها، از نقاط ضعف شناخته شده یا شناخته نشده، سیستم عامل یا نرم افزارهای دیگر مانند مرورگرها (Browser) نیز استفاده می شود. در این صورت، با کشف این نقطه ضعف، در نام ویروس عبارت Exploit دیده خواهد شد.

البته بر این فهرست می توان باز هم افزود، اما هدف آن است که بدانیم ویروس نویسان هم با مفاهیم ماژول (Module) و مونتاژ آشنـا بوده و در محصولات خود آنرا پیاده سازی می کنند!

از بدافزارهایی که به شکل گسترده ای از ویروس BackDoor-AWQ.b به عنوان یکی از بخش های اصلی خود استفاده کرده اند، می توان به بدافزار FlyStudio اشاره کرد. به همین خاطر نیز برخی از شرکت ها (مانند مایکروسافت) به ویروس Backdoor-AWQ.b نام FlyAgent داده اند که می توان آنرا به شکل عامل (Agent) ویروس FlyStudio قلمداد کرد.
در یکی از آخرین نگارش های این ویروس که در روزهای ابتدایی مرداد 1389 شناسایی شده، امکانات نرم افزار “انتقال فایل” معروفی به نام ServU FTP Daemon  را در خود گنجانده است تا به راحتی بتواند فایل های آلوده را روی دستگاه قربانی کپی کند. اما این آخرین نگارش آن نبوده و تا روزهای آخر مهرماه 1389 هم گونه های جدید این ویروس کشف شده است.

تقریبا در تمام گونه های آن، عملکرد “درپشتی” (BackDoor) برای ارسال اطلاعات به نویسنده ویروس وجود دارد و در بسیاری از گونه ها هم امکانات دسترسی از راه دور (Remote Access) تعبیه شده است. حتی یکی از گونه های اولیه آن حاوی دستوری برای باز و بسته کردن کشوی CD هم بود تا در مواقع لزوم بتواند با کاربر بیچاره شوخی کند!

برخی از گونه های این ویروس از طریق نامه های الکترونیکی که تصویر یک خانم جوان را در خود دارد به دست کاربر می رسد. چشم بادامی بودن این خانم و همچنین قرار داشتن برخی از سایت های مرتبط با این ویروس در کشور چین، احتمال چینی بـودن ایـن ویـروس را تقـویت می کند.

اگر دستگاهی در شبکه به این ویروس آلوده شود، به روشهای گوناگون ویروس تلاش می کند تا دستگاه های دیگر عضو شبکه را هم آلوده کند. یعنی از طریق شاخه های اشتراکی (Shared Folders) فایل های آلوده را بر روی دستگاه های دیگر شبکه قرار می دهد و کافیست که کاربران، کنجکاوی بـه خـرج داده و بـر روی آنهـا کلیک کنند تا آلوده شوند.
البته ممکن است کاربران به خاطر شباهت فایل های آلوده با شاخه ها، آنها را اشتباهاً اجرا کنند. استفاده از نام ها و پسوندهای غلط انداز برای فایل های آلوده توسط ویروس BackDoor-AWQ.b به شکل هوشمندانه ای صـورت گـرفته است.

  • پسوندهایی مانند Tmp کاربر و حتی برخی از کارشناسان را به اشتباه انداخته و با تصور اینکه آنها فایل های موقت (Temporary) سیستـم عـامل و دیگر برنامه ها هستند، از وجود ویروس غافل می شوند.
  • استفاده از نام هایی که کلمات غلط اندازی در خود دارند، گاهی به کاربر القا می کند که اینها فایلهای سیستم عامل هستند. کلماتی مانند API که کوتاه شده “توابع برنامه نویسی” است یا Krnl که شباهتی با کلمه Kernel دارد و یا Shell که کاربر را یاد برخی از فایل های سیستم عامل و یا Registry می اندازد.
  • پسـونـدهای fnr و fne هم برای اولین بار توسط گونه های مختلف ویروس BackDoor-AQW.b استفاده شده اند.

ویروس BackDoor-AWQ.b پـس از فعـال شـدن، چنـد فایل اجرایی را در Profile کاربر ( که در شاخه Documents and Settings قرار دارد) کپی و اجرا می کند. با اجرای این فایلهای آلوده، جمع آوری اطلاعات مهم کاربر آغاز شده و در فواصل منظم به بیرون ارسال می شود.

همچنین برای اطمینان از حضور همیشگی ویروس در دستگاه، تغییراتی در محضرخانه (Registry) دستگاه صورت گرفته و نام فایل اجرایی ویروس در کلید زیر قرار داده می شود:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

برای اجرا شدن ویروس در هر بار راه اندازی دستگاه، از روش دیگری هم در ویروس BackDoor-AWQ.b استفاده می شود و آن هم قراردادن پیوندی (Link) به فایل آلوده در مسیر زیر است.

%UserProfile%Start MenuProgramsStartup

قرار دادن فایلی با پسوند lnk در شاخه بالا، در هنگام واردشدن کاربر به سیستم عامل، فایل آلوده به ویروس که ممکن است در جای دیگری قرار داشته باشد، اجرا می شود.
رعلیت و انجام موارد زیر می تواند احتمال آلودگی به این ویروس را کاهش دهد.

  • به روز نگه داشتن ضدويروس و سایر نرم افزارهای امنیتی مانند دیواره آتش
  • نصب آخرین بسته بروزرسانی (Service Pack) و تمامی اصلاحيه های سيستم عامل Windows
  • نصب آخرین اصلاحیه ها (Patch) نرم افزارها بویژه مرورگرها (از جمله  Internet Explorer و Firefox) بصورت دستی، اتوماتيک و يـا بـا استفـاده از سرويس هایی مانند WSUS
  • آگاه کردن کاربران در خصوص خطر کليک بر روی پیوندهای (Link) ناآشنا یا گشت و گذار بی هدف در اینترنت
  • بازنکردن پیوست نامه های مشکوکی که منتظرشان نبوده ایم!
  • تنظیم دسترسی کاربران شبکه در حد کاربران معمولی (Restricted Users , Power Users)
  • تنظیم مناسب تر دستـرسی بـه شاخه های اشتراکی در شبکه
  • تنظیمات مناسب بخش Access Protection ضدویروس

کاربرانی که از ضدويروس McAfee با حداقل DAT 6134 استفاده می کنند، از گزند اين ويروس در امان خواهند بود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *