چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده شود. ايــن ويروس برای اولین بار در آبان ماه سال جاری (1390) مشاهده شده است و نمونه های جدید آن در دی ماه منتشر شده اند. در حال حاضر شدت آلودگی به این ویروس در خاورمیانه پایین است و بیشترین آلودگی ها در اسپانیا و ایالات متحده آمریکا مشاهده شده است.
نامگذاری ها
اين ويروس با نام های زير توسط ضدويروس های مختلف شناسايی می شود:
McAfee W32/Sirefef.f!C1F6C9F2643A
avira TR/ATRAPS.Gen2
Kaspersky Backdoor.Win32.ZAccess.aqo
BitDefender Trojan.Generic.6793824
Microsoft Trojan:Win32/Sirefef.P
Symantec Trojan.Gen
Eset Win32/Sirefef.CR trojan (variant)
norman W32/ZAccess.G (Trojan)
panda Generic Trojan
Sophos Troj/Luiha-T
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس W32/Sirefef.f نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه انجام می شود. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانال های IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
این ویروس پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آن را در هر پروسه ای که پیش از آن در حافظه بارگذاری شده است، تزریق کرده و از این طریق باعث اجرای کد موردنظر می شود. به بیان دیگر ویروس W32/Sirefef.f تلاش می کند خود را در بخشی از حافظه سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری از جمله پروسه Winlogon کپی کند. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نزم افزارهای دیگر پنهان کند.
همچنین این ویروس فایل های آلوده زیر را در دستگاه آلوده کپی می کند:
– %WINDIR%\$NtUninstallKB17136$\3260317531\@
– %WINDIR%\$NtUninstallKB17136$:SummaryInformation
– %WINDIR%\$NtUninstallKB17136$\1384637874
– %WINDIR%\$NtUninstallKB17136$\3260317531\L\akygdmgo
همچنین این ویروس تلاش می کند با نشانی های زیر ارتباط برقرار کند:
hxxp://sstatic1.histats.com/*****
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6594 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.