ویروس W32/Pinkslipbot.gen.t

Pinkslipbot خانواده پرجمعیتی از ويروس هایی با درجه خطر کم (Low) هستند که بیشتر گونه های آن در دسته کرم ها (Worm) قرار می گيرند. مشخصه مشترک تمام این ويروس ها قابلیت “خودتکثيری” آنهاست. برنامه هايی که مدام در حال ايجاد نسخه هايی ديگر از خود هستند و سعی  می کنند با اين روش، سيستم های پيرامون خود را نيز آلوده کنند. از آنجا که ویروس Pinkslipbot از هر روشی بـرای آلـوده کـردن دستگاه های دیگر بهره می گیرد، نوعی کرم محسوب می شود. سه حرف bot در انتهای نام این ویروس هم نشان از آن دارد که با محفلی مجازی (Botnet) متشکل از دستگاه های آلوده به این ویروس، سر و کار داریم. به بیان دیگر نفوذگر می تواند از اين ويروس به عنوان ابزاری برای نفوذ به رایانه و اجرای دستورات دریافت شده از سوی نفوذگر استفاده کند.
گرچه اولين نمونه از خانواده ويروس های Pinkslipbot در دی ماه 1385 مشاهده شد اما گونه های جدید آن تا تاریخ 19 آبان سال جاری (1389) نیز مشاهده شده اند.

وقتی این ویروس برروی دستگاهی اجرا می شود شاخه هایی با نام های مختلف در مسیر زیر ساخته می شود :

Documents and SettingsAll UsersApplication Data Microsoft

همچنین درون هرشاخه، تعداد قابل توجهی فایل های اجرایی (با پسوند exe و dll) می سـازد. در بـرخـی از گـونه ها هم فایل های آلوده در مسیر فایل های موقت (Temp) دستگاه قرار می گیرند.

ویروس Pinkslipbot در بیشتر موارد یکی از فایل های DLL خود را در پروسه های مهم و درحال اجرا در حافظه دستگاه تزریق می کند تا در پشت صحنه بتواند به فعالیت های مخرب خود مشغول باشد. در این صورت حتی اگر فایل EXE مربوط به ویروس در حافظه نباشد، ویروس به کار خود ادامه خواهد داد. البته تمام گونه های این ویروس برای آنکه در هنگام اجرا شدن سیستم عامل درون حافظه قرار بگیرند، نام فایل آلوده مربوط به خود را به عنوان مدخلی در کلیدهای زیر قرار می دهند:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

گونه هایی از این ویروس برای آلوده سازی دستگاه های دیگر شبکه، فایل هایی با پسوند job در مسیر زیر بر روی این دستگاه ها قرار می دهند.

WindowsTasks

جود این فایل ها سبب می شود ویروس در زمان های معینی بر روی دستگاه قربانی اجرا شده و آن را آلوده کند. بدیهی است برای موفقیت در اینکار باید دستگاه آلوده دسترسی های مدیریتی بر روی دستگاه قربانی و به ویژه شاخه های اشتراکی ویژه آن (مانند Admin$) داشته باشد. درصورت بکاربردن رمزهای عبور ضعیف (Weak Passwords) برای کاربران محلی (Local) دستگاه یا کاربران شبکه (Domain) چنین رویدادی محتمل خواهد بود.

اعضای خانواده ویروس W32/Pinkslipbot علاقه زیادی به مخفی کردن خود از دید کاربران و سیستم عامل دارند. برای اینکار، کد آلوده ای به برخی از فایل های سیستمی (مانند ntdll.dll یا Kernel32.dll یا User32.dll یا WS2_32.dll) تزریق می کنند تا برروی عملکرد توابع موجود در این فایل ها تاثیر بگذارند. یا به عبارتی کنترل آن توابع را در جهت مقاصد شوم خود بدست بگیرند. از جمله توابعی که توسط این ویروس تغییر می یابند، به موارد زیر می توان اشاره کرد.

  • NtQuerySystemInformation
  • GetProcAddress
  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileA
  • FindNextFileA
  • RegEnumValue
  • RegEnumValueW
  • RegEnumValueA
  • CharToOemBuffA
  • Connect
  • Send
  • WSASend
  • WSAConnect

دستکاری توابع هسته (Kernel) سیستم عامل، ویروس را وارد دار و دسته  Rootkit ها می کند. این موجودات که یادگاری از سیستم عامل قدیمی یونیکس (Unix) هستنـد، در واقع دسترسی های یک کاربر عادی را به سطح دسترسی های کاربر مدیر می رسانند. از آنجا که کاربر مدیر، در سیستم عامل یونیکس به نام root خوانده می شد نام این موجودات هم به Rootkit مشهور شد. (در سیستم عامل Windows به کاربر مدیر Administrator گفته می شود).
مثلاً تابع FindFirstFile را درنظر بگیـریـد کـه وظیفه دارد فایل هایی با نام مشخص را برروی دیسک سخت یافته و به پـروسـه درخـواست کنـنـده دهد. وقتـی شـمـا در پنجـره My Computer برروی یکی از درایوهای دستگاه (مثلا C:) دوبار کلیک می کنید تا محتویات آنرا ببینید، در واقع این تابع برای یافتن اولین فایل موجود در این مسیر، توسط پروسه Explorer.exe صدا زده می شود. برای یافتن فایل های بعدی باید تابع مشابه FindNextFile چندین بار صدا زده شود تا در هربار یکی از فایل ها پیدا شود. این مراحل تا آخرین فایل موجود در آن مسیر ادامه می یابد.
حال فرض کنید ویروس توانسته این تابع را دستکاری کند، در این صورت هرگاه که نوبت یکی از فایل های آلوده مربوط به ویروس می رسد تا توسط این تابع به برنامه درخواست کننده برگردد، آن نام فیلتر شده و به دست برنامه نخواهد رسید. در این حالت با وجودی که کاربر به شاخه ای که فایل های آلوده در آن موجود است رفته است، اما باز هم اثری از فایل های آلوده مربوط به ویروس نمی بیند!

همچنین این ویروس با برقراری ارتباط با سرویس دهنده های فـراوانـی کـه تـوسط گردانندگان این محفل برپا شده اند، فرمان های مربوطه را دریافت و در زمان های معینی اقدام به اجرای آنها می کند. از این سرویس دهنده ها برای دریافت نگارش های جدید فایل های آلوده نیز استفاده می شود. گرچه این سرویس دهنده ها بیشتر در کشورهای چین و هند و اوکراین قراردارند، اما وجود کشورهای دیگر در این فهرست سبب می شود که نتوان درباره کشور منشا این محفل اظهار نظری کرد.

ویروس Pinkslipbot مطامع مالی نیز دارد. به این شکل که اطلاعاتی را که از سوی دستگاه آلوده برای نشانی بانک ها و موسسات مالی ارسال می شود، جمع آوری کرده و برای گردانندگان محفل (Botnet) ارسال می کند. فهرست بانک های هدف این ویروس، نسبتاً زیاد و شـامـل بـانک های معروف بین المللی می شود. در برخی از گونه های این ویروس هم به نام خاص یک بـانک اکتفا نشده است و اگـر کلمه خـاصی (مانند Cashman) در عبارت مربوط به نشانی گیرنده اطلاعات موجود باشد، داده های ارسالی برداشته و در وقت مناسب به سرویس دهنده هایی که ویروس نویسان برپا کرده اند، ارسال می شود.

خوب است در اینجا با برخی از اعضای خانواده ویروس های Pinkslipbot آشنا شویم.

W32/Pinkslipbot!rootkit
بخشی از ویروس مزبور که تغییراتی در توابع هسته (Kernel) سیستم عامل می دهد تا عملکرد ویروس از دید کاربر، سیستم عامل و نرم افزارهای دیگر مخفی بماند.

W32/Pinkslipbot!Zip
گونه هایی از ویروس Pinkslipbot فایل های فشرده شده (با پسوند ZIP) را از سرویس دهنده ها دریافت و پس از بازکردن، مورد استفاده قرار می دهند. استفاده از قالب ZIP احتمالاً برای در امان ماندن از ضدویروس نصب شده در دروازه ورودی (Gateway) شبکه است.

W32/Pinkslipbot!pk
این ویروس شبیه گونه قبل، شامل فایل های فشرده شده با نرم افزار PKZip است با این فرق که با رمز (Password) مشخصی آن را فشرده کرده است تا کاربر یا سایر برنامه ها نتوانند به محتویات آن دست یابند. ویروس با داشتن این رمز می تواند محتویات فایل فشرده شده را باز کرده و مورد استفاده قرار دهد.

W32/Pinkslipbot!job
گونه هایی از این ویروس که به شکل فایلی با پسوند job در شاخه سیستم عامل کپی می شوند. وجـود ایـن فـایـل سبب می شود تا کد آلوده در زمان مشخصی اجرا شده و نتیجه آن آلوده شدن دستگاه و دریافت نگارش جدیدی از ویروس باشد.

W32/Pinkslipbot!dll
یکی از فایل های ِِDLL است که در دستگاه ویروسی درون پروسه اصلی نرم افزار مرورگر اینترنت (Internet Explorer) به نام iexplore.exe تـزریـق شـده و بـا وصـل شدن به سایت های محفل اقدام به دریافت و ارسال اطلاعات می کند.
W32/Pinkslipbot!conf
فایل های حاوی تنظیمات (Configuration) ویروس توسط ضدویروس با این نام شناسایی می شود.

W32/Pinkslipbot!text
بخشی از فایل های مربوط به ویروس Pinkslipbot که بصورت متن بوده و حاوی اطلاعات ذخیره شده توسط ویروس است. این فایل ها گرچه حاوی کدهای اجرایی نیستند، اما باقی ماندن آنها روی دستگاه می تواند امنیت اطلاعات کاربر را به خطر بیندازد.

JS/Pinkslipbot
این عضو خانواده که به بقیه شباهت کمتری دارد، حاوی اسکریپت هایی به زبان Java Script است و در محیط مرورگر اینترنت اجرا می شود.

W32/Pinkslipbot.gen
به خاطر فراوانی ویروس های این خانواده با اضافه کردن سه حرف gen به انتهای نام آنها به ویروس هایی اشاره می شود که ویژگی های عمومی (Generic) ویروس Pinkslipbot را با خود دارند. البته تغییرات جزیی در این گونه موارد نیز سبب شده است که گونه های مختلف این ویروس، با اضافه شدن حرفی به انتهای نام آنها از هم متمایز شوند.
به بیان دیگر نام هایی مانند W32/Pinkslipbot.gen.a یا W32/Pinkslipbot.gen.t و… حـاصـل ایـن پـرکـاری ویـروس نویسان است!

مشترکينی که از ضدويروس McAfee با حداقل DAT 6164 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *