ويروس PWS-Yunsip

چيست؟

ويروسی با درجه خطر کم (Low) که عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند. این ویروس برای دزدیدن اطلاعات از روی سیستم های قربانی طراحی شده است و برای اولین بار در مهر ماه سال جاری (1390) مشاهده شده است. مطابق نقشه جهانی پراکندگی آلودگی ها، بیشترین انتشار این ویروس در کشورهای چین و  گرجستان بوده است.

نامگذاری ها

نام های دیگر اين ويروس عبارتند از:

Trojan-PWS.Agent
PWS:Win32/Yunsip.A
Trojan-Spy.Win32.Agent.bqme
W32.Yunsip

انتشار

این ویروس، مانند سایر کرم ها از روش های متعددی برای انتشار استفاده می کند.

– از طریق دیسک های USB قابل حمل (Flash Disk) و CDهای قابل نوشتن (Writable). لازم به ذکر است که به محض آلودگی یک سیستم به این کرم، ویروس، سیستم را برای پیدا کردن درایوهای متصل به آن مانیتور کرده و با پیدا کردن حافظه های قابل حمل، یک نسخه از خود را با نام  %DriveLetter%\usp10.dll در درایو مربوطه کپی می کند.

– در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.

خرابکاری

از قابلیت های ویروس PWS-Yunsip می توان به ثبت کلیدهای فشرده شده برروی صفحه کلید (Key logging) اشاره کرد که برای جمع آوری اطلاعاتی مانند رمز های عبور مورد استفاده برروی دستگاه قربانی، استفاده می شود.

این ویروس یکی از سرویس های سیستم عامل را به طور تصادفی انتخاب کرده و با تغییر در تنظیمات Registry پروسه مربوط به خود را به صورت یک سرویس در آورده و اجرا می کند. نمونه ای از این خرابکاری را که در مدخل های Registry سیستم ایجاد می شود، در زیر آمده است:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \[SERVICE NAME]\Parameters\”ServiceDll” = “svcdll”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \[SERVICE NAME]\Parameters\”InstallPath” = “[WORM DIR]”

همچنین ویروس PWS-Yunsip یک نسخه از خود را با نام usp10.dll (که نام یکی از فایل های سیستمی است) درون تمامی درایو های سیستم و پوشه های مختلف کپی می کند. فایل سیستمی usp10.dll برای پشتیبانی کاراکترهای Unicode در فایل های متنی مورد استفاده قرار می گیرد، در نتیجه تمامی برنامه هایی که از کاراکتر های Unicode پشتیبانی می کنند هنگام فراخوانی فایل سیستمی usp10.dll، نسخه آلوده این فایل را نیز فراخوانی کرده و موجب اجرای ویروس می شوند.

از دیگر خرابکاری های ویروس PWS-Yunsip تغییر نام فایل سیستمی %System%\cmd.exe به نام %System%\xmd.exe است. همچنین یک فایل لاگ رمزنگاری شده با نام log.sc می سازد.

با ساختن مدخل زیر در محضرخانه سیستم آلوده ویروس با هربار راه اندازی مجدد اجرا خواهد شد:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\[SERVICE NAME]\”Type” = “120”

از دیگر خرابکاری های ویروس PWS-Yunsip اتصال به میزبان راه دور qq2009.3322.org از طریق پودمان TCP و پورت های 80 و 1024 و دریافت دستورات راه دور برای اجرای عملیات متفاوت بر روی سیستم آلوده است، از جمله این عملیات می توان به موارد زیر اشاره کرد:

– خواندن صفحه کلید و دزدیدن اطلاعات حساس کاربر
– دریافت به روز رسانی های ویروس
– دریافت و اجرای دیگر فایل های آلوده و مخرب
– فرستادن فایل به میزبان راه دور
– حذف فایل ها
– اجرا و یا بستن برنامه های کاربردی

پيشگيری

استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگیری در مقابل کرم ها است. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوی درباره فايل های مشكوك و يا با عناوين جذاب كه در سايت های اشتراك فايل، فراوان ديده می شوند اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.

همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 6581 استفاده می کنند از گزند اين ويروس در امان خواهند بود.