ويروس W32/IRCBot.gen.a
چيست؟
ويروسی با درجه خطر کم (Low) که عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند. اولین نگارش این ویروس در دی ماه سال 1384 مشاهده شده و آخرین نگارش آن در اسفند ماه سال جاری (1390) منتشر شده است. در حال حاضر بر طبق نقشه جهانی میزان آلودگی به این ویروس در خاورمیانه پایین بوده و بیشترین انتشار این ویروس در کشور مکزیک بوده است.
نامگذاری ها
اين ويروس با نام های زير توسط ضدويروس های مختلف شناسايی می شود:
– McAfee W32/IRCBot.gen.a
– avast Win32:Trojan-gen
– avira TR/Dropper.Gen
– Kaspersky Net-Worm.Win32.Kolab.aazh
– Microsoft Worm:Win32/Dorkbot.I
– norman w32/injector.aht
– Sophos Mal/FakeAV-FS
انتشار
این ویروس، مانند سایر کرم ها از روش های متعددی برای انتشار استفاده می کند.:
– از طریق دیسک های USB قابل حمل (Flash Disk) و CDهای قابل نوشتن (Writable)
در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.
خرابکاری
این ویروس پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آن را در هر پروسه ای که پیش از آن در حافظه بارگذاری شده است از جمله پروسه Explorer، تزریق کرده و از این طریق باعث اجرای کد مورد نظر می شود.
همچنین ویروس W32/IRCBot.gen.a تلاش می کند خود را در بخشی از حافظه سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی مانند پروسه Winlogon.exe است. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند و درحافظه مقیم گشته و از همان جا اجرا شود.
این ویروس فایل اجرایی مخرب زیر را در دستگاه آلوده کپی می کند:
%APPDATA%\Hevmvt.exe
ویروس W32/IRCBot.gen.a با تغییر در مدخل زیر باعث می شود فایل آلوده Hevmvt.exe به صورت Autorun درآمده و با هر بار راه اندازی مجدد سیستم اجرا شود:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\HEVMVT = %APPDATA%\Hevmvt.exe
همچنین این ویروس سعی می کند با مسیر زیر ارتباط برقرار کند:
60.190.222.***:5101
hxxp://api.wipmania.com/
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6625 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.
