اگر در ابتدای نام ويروسی کلمه Spyکه کوتاه شده Spyware است، باشد به معنی این است که این ویروس دست به سرقت اطلاعات مهم از روی دستگاه آلوده میزند. این اطلاعات میتواند شامل موارد زیر باشد:
o نامهای کاربری و رمزهای مربوط به حسابهای بانکی
o اطلاعات ذخیره شده مانند رمز ورود به یک سایت خاص
o مشخصات سختافزاری رایانه تحت کنترل ویروس
o نرمافزارهای مورد استفاده بر روی کامپيوتر
ویروس Spy-Lydra!d یکی از این ویروسها است که با درجه خطر کم به تازگی شناسایی شده است.
ویروس Spy-Lydra!d مانند سایر گونههای مشابه، عملکرد “اسب تروا” (Trojan)دارد. اسبهای تروا برنامههايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی میشوند و هنگامی که کاربر تلاش میکند تا با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را آلوده کرده و عواقب آن دير يا زود گريبانش را میگیرد. اسبهای تروا برخلاف گونههای ديگر ويروسها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راهانداز يک ديسک جا بگيرند، موجوديت مستقلی دارد و برای پاکسازی سیستم، تنها حذف فايل کافی است.
هنگام بازدید کاربر از یک سایت آلوده، فایل آلوده به این ویروس برروی دستگاه کاربر کپی و اجرا میشود. اگر سیستم عامل و مرورگر دستگاه مجهز به آخرین اصلاحیهها (Patch) نباشد، فایل آلوده به صورت خودکار و بدون اجازه برروی سیستم اجرا میشود. در صورت بروز بودن سیستم عامل و مرورگر نیز پیغامها و آگهیهای سایتها، کاربر را به دریافت فایل آلوده ترغیب میکنند. در این حالت ممکن است حس کنجکاوی کاربر و کلیک بر روی یکی از این تبلیغات، اجازه انتقال فایل و اجرای آن برروی دستگاه را بدهد.
این ویروس همچنین از روشهای دیگری برای آلودهسازی کاربران استفاده میکند. از جمله این روشها، ارسال نامههای الکترونیکی
(Email) با پیوست آلوده و شبکههای اشتراک فایل (Peer to Peer) است.
ویروس Spy-Lydra!d پس از مستقر شدن در دستگاه آلوده، با دستکاری در محضرخانه (Registry) تلاش میکند دیواره آتش (Firewall) سیستم عامل Windows را به گونهای تنظیم کند که مانع از فعالیت فایل آلوده نشود. در این صورت با وجودیکه دیواره آتش فعال است، ویروس میتواند به راحتی کارهای خود را انجام دهد.
به بیان دقیقتر، در مسیر زیر از محضرخانه:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
SERVICESSHAREDACCESSPARAMETERS
FIREWALLPOLICYSTANDARDPROFILE
AUTHORIZEDAPPLICATIONSLIST
مدخلی با نام زیر میسازد که در واقع نام یکی از فایلهای آلودهاش است:
%TEMP%973D9B64CEAFB115D3EDBF9B2AEB45CF778B2856
و مقدار زیر را به آن میدهد که به معنی اجازه این فایل برای ارتباط با بیرون است:
%TEMP%973d9b64ceafb115d3edbf9b2aeb45cf778b2856:*:Enabled:System Update
همانگونه که میبینید ویروس از نام فایلی استفاده کرده که برای بیشتر کاربران یادآور فایلهای سیستمی دستگاه است و پسوند فایلهای اجرایی (مانند EXE یا COM ) را هم ندارد.
یکی از کارهایی که این ویروس برای محکم کردن جای پای خود در دستگاه انجام میدهد، ایجاد یک سرویس با نام MSORCVP در فهرست سرویسهای دستگاه است که با روشن کردن دستگاه به صورت خودکار فعال میشود. مشخصات این سرویس به گونهای است که کاربر با دیدن آن ممکن است آن را یکی از سرویسهای مورد نیاز دستگاه تشخیص دهد. نام این سرویس “TCPIP route manager” است که با تنظیم مدخل زیر انجام میشود.
HKEY_LOCAL_MACHINESYSTEMControlSet
SERVICESMSORCVPDISPLAYNAME
در توضیحات این سرویس هم عبارت
” This service manages TCP/IP packets at Internet ” ذکر شده تا کاربر احساس کند اگر این سرویس نباشد از شبکه اینترنت هم خبری نخواهد بود !
بعلاوه این سرویس ساخته شده خود را به یکی از سرویسهای اصلی سیستم عامل به نام “Remote Procedure Call”میچسباند تا بیش از پیش این گمان را تقویت کند که باید در سیستم حضور داشته باشد. برای اینکار عبارت “RpcSs” را که کوتاه شده نام
“Remote Procedure Call” است، در مسیر زیر قرار میدهد.
HKEY_LOCAL_MACHINESYSTEMControlSet
SERVICESMSORCVPDEPENDONSERVICE
همچنین ویروس Spy-Lydra!d نسخهای از خود را به صورت فایلی به نام “AdobeGammaLoader.scr”در مسیر زیر قرار می دهد تا با هربار وارد شدن کاربر به سیستم عامل، ویروس درون حافظه دستگاه قرار گیرد.
%ALLUSERSPROFILE%StartMenuProgramsStartup
اما این ویروس از اسامی دیگری به جز آنهایی که ذکر کردیم نیز استفاده می کند. از جمله:
%WINDIR%msorcvp.exe
%WINDIR%regedit.exe
%WINDIR%lsassv.exe
%WINDIR%regedit2.exe
%WINDIR%calc.exe
%WINDIR%msrpc.exe
توصیه میشود برای پیشگیری از آلودگی به این ویروس علاوه بر بروز نگه داشتن ضدويروس، آخرين اصلاحيههای سيستم عامل را نیز در زمان مناسب نصب کنید.
استفاده از امکانات پیشگیرانه در نرم افزارهای ضد ویروس، مـانـنـد امکـانـات Access Protectionدر ضـد ویـروس McAfee VirusScan میتواند جلوی برخی از روشهای انتشار اینگونه ویروس ها را بگیرد. همچنین مشترکينی که از ضدويروس McAfee با حداقل DAT 6268استفاده میکنند، از گزند اين ويروس در امان هستند.