ویروس Downloader.gen.a

نام این ویروس (Downloader) کاملاً نشان دهنده نوع عملکرد آن است. زیرا قرار است پس از آلوده کردن یک دستگاه، به سایت هایی که از سوی ویروس نویس مشخص شده اند، وصل شده و فایل های اجرایی جدیدتر را از آنجا دریافت و اجرا کند. سه حرف gen در ادامه نام ویروس نیز نشان می دهد که از این نامگذاری برای گونه هایی استفاده شده که ویژگی های عمومی (Generic) یک دریافت کننده (Downloader) را در خود دارند.
البته با تعداد سرسام آور ویروس های منتشر شده طی سالیان اخیر، دور از انتظار نخواهد بود که این گونه های عمومی هم دارای زیر شاخه شوند. اضافه شدن حرف a به انتهای نام ویروس، نشان می دهد که با یک شاخه پرجمعیت از این ویروس ها روبرو هستیم. اخیراً بـرای شناسایی دقیق تر هر کدام از اعضای این خانواده، رشته ای دوازده نویسه ای (کاراکتر) به انتهای نام آن اضافه می شود مانند  Downloader.gen.a!c9ab6091f270. این رشته، نام ویروسی از این گروه را معرفی می کند که فایل اجرایی آن دارای “به هم ریختی” (hash) با عبارت c9ab6091f270 است. موارد “به هم ریخت” براساس الگوریتم MD5 محاسبه می شود. برای ویروسی که مثال زدیم این “به هم ریخت” یک عدد 32 رقمی (در مبنای شانزده یا Hexadecimal) است که برای اختصار فقط دوازده رقم از آن در نام ویروس می آید.

C9AB6091F270CE82BA9F437F48C8461F

استفاده از “به هم ریخت” فایل های آلوده برای شناسایی آنها، این امکان را فراهم می کند که بتوان فایل های ویروسی را از فایلهای سالم، بدون اینکه اشتباهی صورت گیرد، باز شناخت. به بیان دیگر، احتمال آنکه “به هم ریخت” دو فایل متفاوت، یکسان شود بسیار ناچیز و تقریبا نزدیک به صفر است و بنـابراین روش منـاسبـی بـرای شناسایی تعداد روز افزون فایل های آلوده خواهد بود.

اولين نمونه اين ويروس در مرداد سال 1386 مشاهده شده است و ماه ها با درجه خطر کم، که نشان دهنده گسترش نه چنـدان زیـاد آن در دنیـا بـوده است، معـرفـی شـده اسـت. در اردیبهشت 1387 گونه هایی از این ویروس به عنوان دریافت کننده نسخه های رایگان از نگارش چهارم بازی مشهور و پرطرفدار GTA یا Grand Theft Auto به کاربران تقدیم شد و از آن زمان درجه خطر آن بالاتر رفته و با عنوان Low-Profiled دسته بندی شده است. این درجه خطر به معنی آن است که ایـن ویـروس بـه دلایل مختلف در رسـانه های جمعی مطرح شده و مورد توجه قرار گرفته است. معمولاً باید احتمال بالا رفتن میزان انتشار این گونه ویروس های مطرح را در نظر گرفت.

از سوی دیگر، ویروس Downloader.gen.a با معرفی کردن خود به عنوان یک برنامه سودمند به کاربران، نشان می دهد که عملکرد “اسب تروا” (Trojan) دارد.
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.

انتشار ويروس Downloader.gen.a نيز همانند سـاير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه، صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبـکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير، فایل های مخرب کپی می شوند.

•    %USER_PROFILE%DesktopSetup.exe
•    USER_PROFILE%Local%
•    SettingsTempremovalfile.bat
•    %USER_PROFILE%lsass.exe
•    Windows17PHolmes1188.exe
•    WindowsFontssvchost.exe
•    WindowsSystembyXOgdba.dll
•    WindowsdFrnx18dFrnx182328.exe

سپس ويروس Downloader.gen.a با سرويس دهنده های زیر ارتباط برقرار کرده و بعد از دریافت ویروس هایی دیگر، آنها را بر روی کامپیوتر قربانی اجرا می کند.

•    ns1.paris-hack.com
•    ymq.a1188.wrs.mcboo.com
•    oday-warez.com
•    members.chello.sk/viktor.rusinak

توجه داشته باشید که سایت های مزبور و سایت های دیگری که توسط گونه های دیگر این ویروس مورد استفاده قرارمی گیرند، در حال حاضر متوقف شده اند. در صورت اجرای این ویروس برروی دستگاهی و تلاش برای دریافت فایل های آلوده از سایت هایی که تعطیل شده اند، قاعدتاً اینکار صورت نخواهد گرفت اما کاربر ممکن است فایل هایی با حجم صفر را برروی دستگاه مشاهده کند که ناشی از عدم موفقیت ویروس در دریافت فایل های آلوده است.
گونه های مختلف این ویروس، با ساختن مدخلی در یکی از کلیدهای زیر، نسخه ای از خود را در هنگام راه اندازی دستگاه درون حافظه قرار می دهند.

•    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
•    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
•    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
•    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

همچنین این ویروس یکی از فایل های DLL خود را با ساختن کلیدی در مسیر زیر به سیستم معرفی می کند:

•    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotify

کلیدی که در اینجا ساخته می شود همنام فایل DLL ویروس (مثلاً byXOgdba) بـوده و سبب مـی شـود پـروسـه Winlogon.exe برخی از رویدادها مانند راه اندازی دستگاه (Restart) یا خاموش کردن (Shutdown) یا خارج شدن از شبکه (Log off) و مانند آن را به اطلاع ویروس برساند. پروسه Winlogon.exe بـرای مجموعه کارهایی استفاده می شود که برای ورود کاربر به محیط سیستم عامل یا خروج از آن مورد نیاز است. گونه هایی از ویروس Downloader.gen.a با تعریف مدخل های مناسب در این کلید، توابعی (Function) را معرفی می کنند که همزمان با رویدادهای گفته شده، برروی دستگاه اجرا شوند. مثلاً فرض کنید ویروس نویس بخواهد همزمان با خروج از محیط شبکه (Log off) عملی صورت گیرد، در این صورت با تعریف تابع مشخصی و قراردادن نام آن در مدخل مزبور می تواند اینکار را انجام دهد.

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا همگی می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

همچنين کاربرانی کـه از ضدويروس McAfee با حداقل DAT 6152 استفاده می کنند، از گزند اين ويروس در امان خواهند بود.