ویروس FlyStudio

شاید نام ويروس FlyStudio ما را بیاد کارهای گرافیکی و پویانمایی چشم نواز، ساخته شده در استودیوهای بزرگ فیلمسازی، بیندازد، ولی چندان ظرافتی در عملکرد این ویروس مشاهده نشده است که با نام آن متناسب باشد. به قول معروف برعکس نهند نام زنگی کافور!

FlyStudio یک اسب تروا (Trojan) است که ویروس های مرتبط با آن را می توان به صورت یک خانواده نه چندان کم جمعیت دید. این ویروس در سيستم عامل Windows از نوع 32 بيتی فعال می شود.
گونه های بسیاری از این ویروس، ویژگی های ویروس های خوداجرا (Autorun) را دارند.  به این معنی که در صورت اجرای فايل آلوده بر روی دستگاه، فايلی به نام autorun.inf، توسط ويروس در ريشه درايوهای ديسک سخت (درايوهای C و D و …) و ابزارهای ذخيره سازی USB Flash ايجاد می شود. درون اين فايل، نام فايل اجرايی ويروس مانند recycle.exe (در آخرين گونه مشاهده شده) آورده شده است. فایل اجرایی ویروس هم معمولا در یک شاخه پنهان از دید کاربر و نه در ریشه (Root) دیسک، قرار داده می شود تا کاربر آن را نبیند و به آلوده بودن کامپیوتر مشکوک نشود. وجود فایل autorun.inf در ریشه درایوهای دیسک سخت سبب می شود تا با باز کردن آن درایو توسط کاربر، ویروس درون حافظه قرار گیرد. به همین صورت کامپيوتر آلوده می تواند هر ديسک USB Flash را نيز که به آن کامپيوتر وصل می شود، آلوده کند.

در گونه هایی از این ویروس فایل آلوده به صورت پنهان (Hidden) در شاخه ای پنهان با نام Recycled برروی درایوها کپی می شود. نام این شاخه شباهت زیادی با شاخه معروف Recycler دارد که برروی تمام درایوهای دیسک سخت موجود بوده و حاوی فایل ها و شـاخـه هایی است کـه از روی آن درایو حذف شده و در بخش بازیافت (Recycle Bin) قرار گرفته اند.
البته همانگونه که می دانید ویروس های فراوانی هم هستند که نسخه هایی از خود را در  شاخه Recycler قرار می دهند و به همین خاطر کاربران بعضاً آنها را ویروس Recycler می نامند! دیده شده که این نامگذاری غیر دقیق، گاهی برای ویروسی مانند FlyStudio هم به کار می رود، در صورتیکه حتی نام شاخه مورد استفاده در این ویروس Recycled است و نه Recycler. البته نمی دانیم این تفاوت جزیی در نامگذاری شاخه ناشی از عـدم دقـت یـا بی اطلاعی ویـروس نویس از نام دقیق شاخه مزبور بوده است و یا خواسته ابتکاری به خرج دهد و از نامی مشابه اما جدید استفاده کند. ویروس های دیگری هم داریم که از نام Recycles برای این شاخه استفاده می کنند که این احتمال دوم را تقویت می کند.

بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهند. حتی گونه هایی از ویروس FlyStudio به شاخه های “اشتراکی ویژه” دستگاه ها هم رحم نمی کنند. منظور از شاخه های اشتراکی ویژه، آنهایی هستند که گرچه برروی تمام دستگاه های شبکه به صورت پیش فرض فعال هستند، اما به خاطر داشتن نویسه $ در انتهای نام خـود، بـرای سـایـر دستـگاه ها نمـایش داده نمی شوند. در صورتیکه اگر کاربری مجوزهای مدیریتی برروی دستگاهی داشته باشد، از راه دور می تواند با وارد کردن نشانی مناسب، بصورت کامل به آنها دسترسی پیدا کند. مثلاً شـاخـه ای اشتـراکـی بـا نـام admin$ بطور پیش فرض برروی تمام دستگاه های موجود در شبکه وجود دارد که در دسترس کامل مدیرانی است که مجوز مدیریتی برروی این دستگاه ها دارند. این شاخه اشتراکی همان شاخه سیستم عامل Windows با تمام محتویات آن است.
با این وصف اگر شاخه اشتراکی admin$ دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دستگاه آلوده، فايل ویروسی را برروی آن قرار دهد و سپس با انجام تغییراتی در محضرخانه (Registry) دستگاه قربانی، ترتیب اجرای آن را بدهد. بدیهی است که اگر به شاخه های اشتراکی ویژه دستگاهی، دسترسی وجود داشته باشد، امکان تغییر محتویات محضرخانه از راه دور نیز وجود خواهد داشت.

برای تغییر از راه دور محتویات محضرخانه، سرویسی برروی دستگاه ها با نام Remote Registry وجود دارد که به صورت پیش فرض فعال است. (برای دیدن فهرست سرویس های سیستم عامل Windows می توان در بخش Control Panel و سپس قسمت Administrative Tools گزینه Services را باز کرد). با این توضیحات کاملاً قابل درک است که چرا برخی از مدیران شبکه برای امنیت بیشتر اقدام به غیرفعال کردن یا حذف کردن شاخه های اشتراکی ویژه (مانند admin$ یا C$ و …) برروی دستگاه های شبکه می کنند. همین کار ممکن است در مورد سرویس هایی انجام گیرد که ضرورتی برای فعال بودن آنها احساس نمی شود.

اگر همانگونه که در ابتدا اشاره شد، ویروس FlyStudio را خانواده کوچکی در نظر بگیریم، برخی از اعضای دیگر این خانواده را می توانیم به ترتیب زیر نام ببریم.

  • ویـروس BackDoor-AWQ.b که بخشی از عملیات درب پشتی (Back Door) ویروس را انجام می دهد.
  • برنامه ناخواسته Adware-FlyStudio نقش پیام های بازرگانی را بازی کرده و برای کاربر آلوده، صفحات ناخواسته ای را در مرورگر اینترنت نشان می دهد تا او را به سایت خاص و مخربی هدایت کند.
  • برنامه ناخواسته FlyStudio Packed  که برنامه ای برای فشرده سازی (Pack) کدهای اجرایی و در نتیجه پنهان کردن آنها از دید نرم افزارهای امنیتی ضدویروس است. ویروس نویسان از این روش برای گمراهی ضدویروس ها بسیار استفاده می کنند و طبیعتاً شرکت های ضدویروس نیز این روش های فشرده سازی را به محصولات خود اضافه می کنند. روش فشرده سازی ابداعی ویروس FlyStudio  اولین بار در اسفند ماه 1388 کشف شد.
  • برنامه Generic PWS.y که وظیفه جمع آوری و سرقت رمزهای ذخیره شده برروی دستگاه بعهده او است.
  • اسب تروای Generic Downloader.x که وظیفه دریافت خودکار آخرین نگارش ویروس از اینترنت را به عهده دارد. همچنین ممکن است برای دریافت جدیدترین دستورات ویروس نویس هم مورد استفاده قرار گیرد.

از ابداعات ویروس FlyStudio استفاده از دو پسوند جدید برای فایلهای آلوده است که تا کنون توسط هیچ نرم افزار شناخته شده ای در دنیا  استفاده نشده است. این پسوندها یکی FNE و دیگری FNR هستند و قاعدتاً برخی از ضدویروس ها را که از فایل های اجرایی (Engine) قابل انعطافی برخوردار نیستند، مدتی دچار مشکل کرد. همانگونه که می دانید ضدویروس ها بوسیله فایل های اجرایی خود، قادر به شناسایی قالب های گوناگون فایل ها بوده و آنها را برای یافتن چند ملیون ویروس موجود در دنیا بصورت بهینه جستجو می کنند.

در برخی از گونه های این ویروس دست اندازی هایی به بخشی از محضرخانه که تنظیمات مربوط به افزونه های (Extension) مرورگر اینترنت (Internet Explorer) در آن ذخیره شده، می کند تا برخی از کارهای شوم خود را از این طریق انجام دهد.
همچنین با تغییر کلید زیر در محضرخانه و تنظیم مقدار 1 برای مدخل Locked، امکان حذف نشانه های خود از بخش نوار وضعیت (Toolbar) مرورگر را از کاربر سلب می کند.

HKEY_CURRENT_USERSOFTWAREMICROSOFT INTERNET EXPLORERTOOLBAR

قدیمی ترین نشانه از ويروس FlyStudio، در آبان ماه سال 1382مشاهده شد و البته سال ها طول کشید تا این ویروس به شهرت و کثرت امروزی برسد. آخرین گونه این ویروس در آخرین روزهای مهرماه 1389 مشاهده شده است. در تمام این سال ها نیز میزان انتشار این ویروس در دنیا کم بوده و بنابراین با درجه خطر کم (Low) معرفی شده است.

در ایران تعداد شرکت ها و سازمان هایی که به این ویروس یا ماژول های آن دچار شده اند، قابل توجه بوده است که علت آن را می توان در عدم رعایت مسائل امنیتی از جمله تعیین دسترسی های مناسب کاربران در شبکه دانست. در مواردی به کاربران دسترسی هایی در حد مدیر شبکه (Administrator) داده می شود که هیچ تناسبی با جایگاه او ندارد. حتی گاهی اوقات این دسترسی ها به هیچ عنوان به درد او نمی خورد.
به همین صورت، حالتی را می تـوان تصـور کـرد کـه شـاخه هایی در شبکه به اشتراک گذاشته شده اند، اما فهرستی از دسترسی های (Access List) مناسب برای آن تعریف نشده است. بنابراین هر کاربری حتی با کمترین دسترسی ها، امکان کنترل کامل (Full Control) برروی این شاخه را دارد. در حالیکه اگر مثلاً قرار است کاربران از روی شاخه ای فقط بتوانند فایل هایی را اجرا کنند، کافی است که دسترسی های خواندن (Read) ، فهرست کردن (List) و اجرا (Execute) به آنها داده شود و نه دسترسی های نوشتن (Write)، تغییر (Modify) یا حتی (بلا به دور! زبانم لال!) دسترسی کامل (Full Control). امروزه تمام سیستم های عامل امکاناتی برای تعیین دقیق دسترسی ها به شاخه ها و حتی فایل ها را در خود دارند.

ضدویروس McAfee با فایل های بروزرسانی DAT 6142 قادر به شناسایی و پاکسازی تمام گونه های کشف شده این ویروس است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *