چيست؟
ويروسی با درجه خطر کم (Low) که عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند. اولین نسخه از خانواده این ویروس در دی ماه سال 1388 مشاهده شد و طی چند ماه گذشته فعالیت زیادی از خود نشان داده است. گرچه در حال حاضر بر طبق نقشه جهانی بیشترین انتشار این ویروس در انگلیس بوده است، اما آمارهای محلی نشان می دهد که میزان آلودگی ها در ایران هم نسبتا قابل توجه بوده است.
نامگذاری ها
اين ويروس با نام های زير توسط ضدويروس های مختلف شناسايی می شود:
McAfee W32/Ramnit.b!9B9128872D84
avast Win32:PrefPoly
avira W32/Ramnit.E
Kaspersky Trojan.Win32.Patched.md
BitDefender Win32.Ramnit.N
Microsoft Virus:Win32/Ramnit.AE
Symantec W32.Ramnit.B!inf
Eset Win32/Ramnit.H virus
norman W32/Ramnit.AB
panda W32/Cosmu.L
Sophos W32/Ramnit-A
انتشار
این ویروس، مانند سایر کرم ها از روش های متعددی برای انتشار استفاده می کند.
– از طریق دیسک های USB قابل حمل (Flash Disk) و CDهای قابل نوشتن (Writable)
– در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.
خرابکاری
این ویروس فایل های آلوده زیر را در دستگاه آلوده کپی می کند:
%USERPROFILE%\Local Settings\Application Data\awnlprtc\idfxauds.exe
C:\Documents and Settings\ADMINI~1mgr.exe
%USERPROFILE%\Local Settings\Application Data\jeipbtin.log
%TEMP%\aidscwfyrmfoyvlq.exe
%TEMP%\control.xml
%USERPROFILE%\Start Menu\Programs\Startup\idfxauds.exe
%USERPROFILE%\Local Settings\Application Data\kumdtqpo.log
%WINDIR%\wmsetup.log
سپس با تغییر مدخل زیر در محضرخانه سیستم بلافاصله و همزمان با ورود کاربر به سیستم فایل اجرایی آلوده idfxauds.exe بر روی سیستم اجرا می شود:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT \CURRENTVERSION\WINLOGON\USERINIT = %WINDIR%\SYSTEM32\userinit.exe,,%USERPROFILE%\Local Settings\Application Data \awnlprtc\idfxauds.exe
همچنین تغییر در مدخل زیر تضمین می کند که با هر بار راه اندازی مجدد سیستم فایل آلوده idfxauds.exe بر روی سیستم اجرا شود:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\RUN\IDFXAUDS = %USERPROFILE%\Local Settings\Application Data\awnlprtc\idfxauds.exe
از خرابکاری های دیگر این ویروس این است که برخی تنظیمات پیش فرض برنامه Media Player ویندوز را تغییر می دهد.
این ویروس سعی می کند با نشانی های زیر ارتباط برقرار کند:
– 82.165.39.**:443
– 178.79.172.***:443
– 87.255.51.***:443
– 50.62.12.***:443
– 74.125.127.***:80
– hxxp://autoupdate.windowsmedia.com/update/*****
– 65.55.13.***:80
– 208.73.2[private subnet]
پيشگيری
استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگری در مقابل کرم ها است. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6580 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.