ويروس BackDoor-DIQ
چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و با باز کردن یک در پشتی (Back Door) و اضافه کردن فابل های مخرب، برای حمله کننده امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. اولين نمونه آن در سال 1385 مشاهده شده است. با توجه به نقشه جهانی، آلودگی به این ویروس در خاورمیانه پایین بوده و بیشترین آلودگی در برزیل مشاهده شده است.
نامگذاری ها
اين ويروس با نام های زير توسط ضدويروس های مختلف شناسايی می شود:
McAfee BackDoor-DIQ
Kaspersky Trojan.Win32.Buzus.ccfl
NOD32 Win32/AutoRun.KS
Ikarus Worm.Win32.Pushbot
Microsoft VirTool:Win32/DelfInject.gen!BE
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس BackDoor-DIQ نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانال های IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
به محض اجرا شدن اسب تروا خود را با یکی از نام های IE.exe یا memory.exe یا msn32.exe یا tux.exe و یاdriver.exe در یکی از مسیرهای زیر به صورت مخفی کپی می کند:
%SystemDrive%\servicesOO\servicesO\IE.exe [Hidden]
[Removable Drive]:\servicesOO\servicesO\IE.exe [Hidden]
%APPDATA%\ msn32.exe
%SYSTEMDRIVE%\SYSTEM\G-923-321232-3232-32211-23\memory.exe
[Removable Drive]:\SYSTEM\G-923-321232-3232-32211-23\memory.exe
%SystemDrive%\DUB\WONK\tux.exe
%SystemDrive%:\SYSTEM\G-923-321232-3232-32211-23\driver.exe
همچنین فایل های زیر داخل سیستم قرار می گیرند:
%SystemDrive%\servicesOO\servicesO\desKtOp.InI
[Removable Drive]:\autorun.Inf
%SYSTEMDRIVE%\autorun.inf [Hidden]
این اسب تروا نسخه ای از فایل autorun.inf را در ریشه تمام درایوهای سیستم کپی می کند. فایل autorun.inf درصورت دسترسی، به فایل اجرایی ویروس اشاره کرده و باعث اجرای فایل مورد نظر (به طور مثال IE.exe) می شود.
همینطور با ساخته شدن مدخلی در محضرخانه سیستم آلوده، با هربار راه اندازی مجدد سیستم ویروس و فایل اجرایی آن بارگزاری و اجرا می شوند.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G3214441}\]
با ساخته شدن مدخل بالا مقدار آن نیز متناسب با فایل اجرایی اسب تروا، تغییر می کند. به طور مثال اگر ویروس خود را در فایلی با نام IE.exe کپی کرده باشد مقدار مدخل بالا به صورت زیر خواهد بود:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G3214441}\]
StubPath = “c:\servicesOO\servicesO\IE.exe
همینطور بر روی سیستم آلوده یک در پشتی باز شده و برنامه ای برای ارتباط سرویس دهنده راه دور با سیستم آلوده از طریق پورت TCP/IP ساخته می شود. باز شدن این در پشتی قابلیت های زیادی را بر روی سیستم ایجاد می کند که از جمله آن ها می توان به تغییر نام، حذف کردن و اجرای فایل های اجرایی گوناگون و نیز ویرایش محضرخانه سیستم و گردآوری رمزهای ذخیره شده بر روی سیستم و دزدی اطلاعات صوتی و تصویری اشاره کرد.
درپشتی که توسط ویروس باز می شود تلاش می کند به نشانی های زیر وصل شود:
– www[.]microsoft[.]acmetoy[.]com
– www[.]microsoft[.]instanthq.com
– www[.]microsoft[.]proxydns[.]com
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف، در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6560 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.