ویروس Spy-Lydra!d

اگر در ابتدای نام ويروسی  کلمه  Spyکه کوتاه شده Spyware است، باشد به معنی این است که این ویروس دست به سرقت اطلاعات مهم از روی دستگاه آلوده می‎زند. این اطلاعات می‎تواند شامل موارد زیر باشد:

o  نام‎های کاربری و رمزهای مربوط به حساب‎های بانکی
o  اطلاعات ذخیره شده مانند رمز ورود به یک سایت خاص
o  مشخصات سخت‎افزاری رایانه تحت کنترل ویروس
o  نرم‎افزارهای مورد استفاده بر روی کامپيوتر

ویروس Spy-Lydra!d یکی از این ویروس‎ها است که با درجه خطر کم به تازگی شناسایی شده است.

ویروس Spy-Lydra!d مانند سایر گونه‎های مشابه، عملکرد “اسب تروا”  (Trojan)دارد. اسب‎های تروا برنامه‎هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می‎شوند و هنگامی که کاربر تلاش می‎کند تا با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را  آلوده کرده و عواقب آن دير يا زود گريبانش را می‎گیرد. اسب‎های تروا برخلاف گونه‎های ديگر ويروس‎ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه‎انداز يک ديسک جا بگيرند، موجوديت مستقلی دارد و برای پاکسازی سیستم، تنها حذف فايل کافی است.

هنگام بازدید کاربر از یک سایت آلوده، فایل آلوده به این ویروس برروی دستگاه کاربر کپی و اجرا می‎شود. اگر سیستم عامل و مرورگر دستگاه مجهز به آخرین اصلاحیه‎ها (Patch) نباشد، فایل آلوده به صورت خودکار و بدون اجازه برروی سیستم اجرا می‎شود. در صورت بروز بودن سیستم عامل و مرورگر نیز پیغام‎ها و آگهی‎های سایت‎ها،  کاربر را به دریافت فایل آلوده ترغیب می‎کنند. در این حالت ممکن است حس کنجکاوی کاربر و کلیک بر روی یکی از این تبلیغات، اجازه انتقال فایل و اجرای آن برروی دستگاه را بدهد.

این ویروس همچنین از روش‎های دیگری برای آلوده‎سازی کاربران استفاده می‎کند. از جمله این روش‎ها، ارسال نامه‎های الکترونیکی
(Email) با پیوست آلوده و شبکه‎های اشتراک فایل (Peer to Peer)  است.

ویروس Spy-Lydra!d پس از مستقر شدن در دستگاه آلوده، با دستکاری در محضرخانه (Registry) تلاش می‎کند دیواره آتش (Firewall)  سیستم عامل Windows را به گونه‎ای تنظیم کند که مانع از فعالیت فایل آلوده نشود. در این صورت با وجودیکه دیواره آتش فعال است، ویروس می‎تواند به راحتی کارهای خود را انجام دهد.

به بیان دقیق‎تر، در مسیر زیر از محضرخانه:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
SERVICESSHAREDACCESSPARAMETERS
FIREWALLPOLICYSTANDARDPROFILE
AUTHORIZEDAPPLICATIONSLIST

مدخلی با نام زیر می‎سازد که در واقع نام یکی از فایل‎های آلوده‎اش است:

%TEMP%973D9B64CEAFB115D3EDBF9B2AEB45CF778B2856

و مقدار زیر را  به آن می‎دهد که به معنی اجازه این فایل برای ارتباط با بیرون است: 

%TEMP%973d9b64ceafb115d3edbf9b2aeb45cf778b2856:*:Enabled:System Update

همانگونه که می‎بینید ویروس از نام فایلی استفاده کرده  که برای بیشتر کاربران یادآور فایل‎های سیستمی دستگاه است و پسوند فایل‎های اجرایی (مانند EXE یا COM ) را هم ندارد.

یکی از کارهایی که این ویروس برای محکم کردن جای پای خود در دستگاه انجام می‎دهد، ایجاد یک سرویس با نام  MSORCVP در فهرست سرویس‎های دستگاه است که با روشن کردن دستگاه به صورت خودکار فعال می‎شود. مشخصات این سرویس به گونه‎ای است که کاربر با دیدن آن ممکن است آن را یکی از سرویس‎های مورد نیاز دستگاه تشخیص دهد. نام این سرویس “TCPIP route manager” است که با تنظیم مدخل زیر انجام می‎شود.

HKEY_LOCAL_MACHINESYSTEMControlSet
SERVICESMSORCVPDISPLAYNAME 

در توضیحات این سرویس هم عبارت
 ” This service manages TCP/IP packets at Internet ” ذکر شده تا کاربر احساس کند اگر این سرویس نباشد از شبکه اینترنت هم خبری نخواهد بود !

بعلاوه این سرویس ساخته شده خود را به یکی از سرویس‎های اصلی سیستم عامل به نام “Remote Procedure Call”می‎چسباند تا بیش از پیش این گمان را تقویت کند که باید در سیستم حضور داشته باشد. برای اینکار عبارت “RpcSs” را که کوتاه شده نام 
“Remote Procedure Call”  است، در مسیر زیر قرار می‎دهد.

HKEY_LOCAL_MACHINESYSTEMControlSet
SERVICESMSORCVPDEPENDONSERVICE

همچنین ویروس Spy-Lydra!d نسخه‎ای از خود را به صورت فایلی به نام  “AdobeGammaLoader.scr”در مسیر زیر قرار می دهد  تا با هربار وارد شدن کاربر به سیستم عامل، ویروس درون حافظه دستگاه قرار گیرد.

%ALLUSERSPROFILE%StartMenuProgramsStartup

اما این ویروس از اسامی دیگری به جز آنهایی که ذکر کردیم نیز استفاده می کند. از جمله:

%WINDIR%msorcvp.exe
%WINDIR%regedit.exe
%WINDIR%lsassv.exe
%WINDIR%regedit2.exe
%WINDIR%calc.exe
%WINDIR%msrpc.exe

توصیه می‎شود برای پیشگیری از آلودگی به این ویروس علاوه بر بروز نگه داشتن ضدويروس، آخرين اصلاحيه‎های سيستم عامل را نیز در زمان مناسب نصب کنید.

استفاده از امکانات پیشگیرانه در نرم افزارهای ضد ویروس، مـانـنـد امکـانـات  Access Protectionدر ضـد ویـروس McAfee VirusScan می‎تواند جلوی برخی از روش‎های انتشار اینگونه ویروس ها را بگیرد. همچنین مشترکينی که از ضدويروس McAfee با حداقل  DAT 6268استفاده می‎کنند، از گزند اين ويروس در امان هستند.