ویروس W32/Sality

ظهـور ایـن ویـروس به زمـانی در حدود سـه سـال پیش می رسد. در ابتدا، یک ویروس آلوده کننده فایل های اجرایی EXE بود که کد آلوده ای با حجم کمتر از صد کیلوبایت به فایل ها اضافه می کرد و  ساختار فایل اجرایی را به گونه ای تغییر می داد که با اجرای فایل مزبور بر روی یک دستگاه سالم، ویروس هم درون حافظه قرار گیرد. این روش ویروس نویسی، یعنی چسباندن کد آلوده به فایل های اجرایی سالم از بیست سال پیش و زمان پیدایش اولین ویروس ها وجود داشته اما درآن زمان ویروس نویسان باید منتظر می ماندند تا فایلی از روی یک فلاپی به فلاپی دیگر کپی شود و یا اگر خوش شانس بودند فایل در یک BBS (که آن روزها نقش Web را بازی می کرد) قرارگیرد، تا بتواند دستگاههای دیگری را آلوده کند. اما ویروس Sality که سالها پس از آن آمده بود، در گونه های اولیه خود به شاخه های اشتراکی (Share) موجود در شبکه هم سرک می کشید و در صورت یافتن فایل های EXE در آنجا، اقدام به آلوده کردن آنها هم می نمود.

پس از مدتی ویروس نویس (یا ویروس نویسان) این بدافزار در نگارش جدید از خاصیت خوداجرایی (Autorun) درایوها و بویژه دیسک های USB قابل حمل، برای انتشار آلودگی استفاده کردند. بدین صورت که پس از اجرای فايل آلوده بر روی دستگاه، فايلی بنام autorun.inf توسط ويروس در ريشه درايوهای ذخيره سازی USB که به سیستم وصل می شدند، قرار می گرفت. درون اين فايل، نام فايل اجرايی ويروس آورده می شد. نتیجه آن می شد که علاوه بر راههایی که تا آن موقع برای انتشار ویروس وجود داشت، یک راه جـدیـد دیگر هم ابـداع شد و با گسترش هرچه بیشتر استفاده از Flash Disk ها، اهمیت این روش جدید، از روشهای دیگر بیشتر هم شد.

کار به جایی رسید که این ویروس به درایوهای اشتراکی (Map Drive) شبکه هم رحم نکرده و بر روی آنها هم این دو فایل را کپی می کرد. نتیجه این می شد که کاربران دیگری هم که از این درایوهای اشتراکی استفاده می کردند به راحتی آلوده می شدند. اگر هم به دستگاه دیگری از راه دور دسترسی مناسب بود، ویروس سعی می کرد دو فایل مزبور را در ریشه درایوهای دیسک سخت آن دستگاه بگذارند. در این صورت کافی بود دستگاه مجدداً راه اندازی شود و سپس کاربر بر روی یکی از درایوهای دستگاه در پنجره My Computer دوبار کلیک کند تا ویروس درون حافظه دستگاه قرار گیرد.

در گونه های بعدی Sality فهرست کوچکی از رمز عبورهای (Password) مشهور و ضعیف هم در کد ویروس وجود داشت تا هنگامی که تلاش می کند به دستگاهی از راه دور وصل شود، در صورت نداشتن دسترسی، این رمزها را هم برای اتصال به دستگاه آزمایش نماید.

با توجه به آنچه تاکنون گفته شد می توان حدس زد قربانیان این ویروس بیشتر چه کسانی هستند:

• افرادی که رمز ضعیف بـرای کاربران خود تعریف کرده اند. هنوز هم عده ای در هنگام نصب سیستم عامل رمز عبور Administrator را خالی می گذارند و یا خیلی که همت کنند از رمزهایی مانند 1 یا 1234 کمک می گیرند.
  
• در محیط شبکه، شاخه های اشتراکی تعریف شده است اما فهرست کاربران مجاز و دسترسی آنها به دقت تعریف نشده است. هنوز هم عده ای وقتی شاخه ای را در شبکه به اشتراک می گذارند، بنا به عادت دسترسی کامل (Full Control) به همه (Everyone) کـاربـران می دهند !
• هیچ محدودیتی در استفاده کاربران از وسـایـل ذخیـره سازی قابل حمل، بر روی دستگاه های شبکه وجود ندارد و مدیران شبکه هم آنقدر سرشان شلوغ است که خبردار نیستند نرم افزارهایی برای کنترل دسترسی به تجهیزات دستگاه ها (مانند نرم افزار McAfee Device Control) به بازار آمده است!

برخی از نسخه های این ویروس هم بسیار شلخته بوده و در مسیر هدف، تا می توانند فایل هایی با پسوندهای اجرایی (مانند EXE ،PIF ،CMD و SCR) قرار می دهند، طوری که کاربر را کلافه می کنند. همچنین در گونه هایی از آن، فایل های اجرایی نرم افزارهای آشنای Windows مانند برنامه نقاشی (Paint) یا بازی های مشهور (مانند مین روب یـا MineSweeper) بـه صورت آلوده شده، اجرا می شوند تا کاربران را به اجرای ویروس ترغیب کنند.

فهرست خرابکاری های  گونه های مختلف این ویروس بسیار بلند بالاست و البته در بسیاری از ویروس های دیگر هم وجود دارد. اما برای کوتاه کردن سخن، نگاهی به آخرین نگارش این ویروس بنام W32/Sality.gen.e می اندازیم که چندروزی است با سوءاستفاده از نقطه ضعف جدید سیستم عامل Windows در سراسر دنیا منتشر شده است. میزان انتشار این گونه از ویروس Sality در دنیا به شدت افزایش یافته و از ویروس دیگری که ابتدا از این نقطه ضعف استفاده کرده بود (یعنی ویروس Stuxnet) هم جلو زده است. همچنین در حالیکه میـزان آلـودگی بـه ویـروس Stuxnet در ایـران بـالاتـر از همه کشـورهـا بـود، ویـروس w32/Sality.gen.e ایـران را در رتبـه ششم آلـودگـی (تا 20 مرداد) به این ویروس قرار داده است.

این ویروس در اقدامی سبعانه کلیدهایی را در محضرخانه (Registry) حذف می کند تا دستگاه در حالت Safe Mode بالا نیاید. قاعدتاً این کار را به این دلیل انجام می دهد که کاربر نتواند با بالا آوردن دستگاه در Safe Mode  موقتاً از شر ویروس رها شود.

همچنین در این ویروس بخشی به شکل Rootkit وجود دارد که به هسته (Kernel) سیستم عامل دست درازی می کند. به این صورت که با دستکاری در یکی از توابع هسته، اقدام به دور زدن سازوکارهای امنیتی سیستم عامل و درنتیجه ضدویروس ها می نماید. اگر ویروس بتواند در استفاده از این روش موفق شود، امکان غیرفعال کردن دیواره آتش سیستم عامل Windows و نیز ضدویروس نصب شده برروی دستگاه را خواهد داشت. برای این مقصود فهرستی از پروسه های امنیتی و سرویس های ضدویروس های مشهور درون ویروس وجود دارد تا براساس آن، هرگونه مزاحمت برای ویروس را از میان بردارد. دست اندازی نفوذگران و ویروس ها به هسته سیستم عامل، سال ها است که معضلات امنیتی بسیاری را برای کاربران این سیستم عامل بوجود آورده است و هنوز هم با وجود تلاش مایکروسافت در بهبود امنیت آن در نگارشهای جدید Windows، این معضل پابرجاست. علت هم برمی گردد به طراحی اولیه این هسته که از ابتدا ملاحظات امنیتی در آن لحاظ نشده است و پس از آن هم به خاطر لزوم سازگاری با نگارش های قبلی امکان تغییرات بنیادین در آن وجود نداشته است. از بخت بد مایکروسافت دانش فنی نسبت به هسته Windows بسیار بالا رفته و درنتیجه کدهای زیادی برای Rootkit ها نوشته و منتشر شده است، به طوری که ویروس نویسانی با سطح سواد متوسط هم می توانند ابزارهای Rootkit را به کد ویروس های خود اضافه کنند!

این ویروس در جهت غیرفعال کردن برنامه Regedit و در نتیجه غیرممکن کردن اصلاح محضرخانه (Registry)، برای متغیری به نام “DisableRegistryTools” در مسیر زیر، مقدار عددی یک را قرار می دهد.

Hkey_Current_UserSoftwareMicrosoftWindowsCurrentVersionPoliciessystem

گرچه ضدویروس های McAfee با فایل های اطلاعاتی شماره DAT 6067 و پس از آن، قادر به  شناسایی و پاکسازی این ویروس می باشند، اما نصب آخـريـن اصلاحيه های سيستـم عـامل، بویژه اصلاحیه جدید MS10-046 از احتمال انتشار آن در شبکه می کاهد. این اصلاحیه از مسیر زیر قابل دریافت است.

http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx