چيست؟
ويروسی با درجه خطر متوسط (Medium) که عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند. این ویروس گونه تغییر یافته بدافزار W32/Autorun.worm.gen است که برای اولین بار در ماه جاری (اسفند 1390) در یکی از کارخانجات خودروسازی و یک شرکت داروسازی کشور مشاهده شده است.
نامگذاری ها
اين ويروس با نام های زير توسط ضدويروس های مختلف شناسايی می شود:
avast: Win32:AutoRun-CGA
avira: TR/ATRAPS.Gen
Kaspersky: Trojan.Win32.Scar.exur
Dr.Web: Trojan.MulDrop2.58306
F-Prot: W32/AutoRun.ZE
Microsoft: Virus:Win32/Pintu.A
Symantec: W32.Tapin
panda: W32/AutoRun.KOK
vba32: Trojan.Delf.nhs
انتشار
در صورت اجرای فايل آلوده بر روی دستگاه، فايلی به نام autorun.inf توسط ويروس در ريشه درايوهای ديسک سخت (درايوهای C ،D و …) و ابزارهای ذخيره سازی USB (در صورت وجود) ايجاد می شود. درون اين فايل، نام فايل اجرايی ويروس مانند Paint.exe (در آخرين گونه مشاهده شده در ايران) آورده شده است. کامپيوتر آلوده می تواند هر ديسک USB را نيز که به آن کامپيوتر وصل می شود، آلوده کند. همچنين اين ويروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و Paint.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.
در شبکه هايی که رمز عبور Administrator برای همه دستگاه ها يکی باشد و يا از رمز عبورهای ضعيف (مانند Blank ،1 ،123 و …) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی که برای اشتراک فايل بين کاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.)
خرابکاری
به محض اجرا شدن، تعداد زیادی فايل مخرب بر روی دستگاه کپی می شوند که برخی از آنها عبارتند از:
– %COMMONPROGRAMFILES%\Microsoft Shared\Smart Tag\SmartTagInstall.exe
– %APPDATA%\Paint.exe
– C:\Paint
– %PROGRAMFILES%\messenger\msmsgsin.exe
– C:\vlistdlls.ico
– C:\vpslist.ico
– C:\autorun.inf
همچنين اين ويروس، با ایجاد کليد زير در محضرخانه (Registry)، خود را در هر بار راه اندازی دستگاه به سيستم عامل تزریق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\PAINT.EXE= %APPDATA%\Paint.exe
در صورتی که دستگاه قربانی به اینترنت متصل باشد، بدافزارهای دیگری همچون Generic PWS.wl و virusgen توسط این ویروس دریافت و بر روی سیستم اجرا می شود.
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، محدود کردن دسترسی کاربران به درگاه های فیزیکی مانند درگاه USB از طریق نرم افزارهایی همچون McAfee Device Control، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های
– Prevent remote creation/modification of executable and configuration files
– USB
و برای کامپيوترهای پرخطر، فعال کردن قاعده
– Prevent programs registering to autorun
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین ضدويروس مک آفی با فایل های اطلاعاتی شماره DAT6603 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.