چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده شود. ايــن ويروس برای اولین بار در شهریور ماه سال 1389 مشاهده شده است و تا زمان حال (اسفند 1390) نمونه های متفاوتی از آن منتشر شده است. گرچه در حال حاضر بیشترین آلودگی ها در برزیل و مکزیک مشاهده شده است، اما انتشار این ویروس در ایران نیز قابل توجه است.
نامگذاری ها
اين ويروس با نام های زير توسط ضدويروس های مختلف شناسايی می شود:
– McAfee VBObfus.ct!A3C02AC944F4
– avast Win32:Injector-AHU
– AVG (GriSoft) Worm/Generic2.BHCL
– avira Worm/Vobfus.plam
– Kaspersky Trojan.Win32.VB.bacy
– BitDefender Trojan.VB.Autorun.BF
– Microsoft Worm:Win32/Vobfus.gen!P
– Symantec W32.Changeup!gen15
– norman W32/Autorun.BPOU
– panda Generic Malware
– Sophos Mal/VBCheMan-B
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس VBObfus.ct! نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانال های IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
با آلوده شدن دستگاه به ویروس VBObfus.ct پروسه آلوده زیر در مسیر پروفایل کاربر قرار می گیرد:
– %USERPROFILE%\seaih.exe
سپس با تغییر مدخل زیر در محضر خانه ی سیستم این پروسه به صورت AutoRun در آمده و با هر بار راه اندازی مجدد سیستم اجرا می شود:
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\SEAIH = %USERPROFILE%\seaih.exe /m
نمونه های دیگر این ویروس نیز پروسه هایی با نام های تصادفی و بی معنی را در مسیر پروفایل کاربران قرار داده و آن را بصورت AutoRun در می آورند. بعضی از این پروسه ها در زیر آمده اند:
%USERPROFILE%\cafoy.exe
%USERPROFILE%\ksjat.exe
%USERPROFILE%\daoos.exe
از خرابکاری های ویروس VBObfus.ct! می توان به تغییر تنظیمات کلی و پیشرفته مرورگر IE اشاره کرد.
از جمله این تغییرات مخفی شدن پسوند فایل ها است که باعث می شود فایل های اجرایی به صورت اسناد نمایش داده شوند و کاربر با اجرای آن ها باعث اجرای برنامه مخرب می شود.
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\SHOWSUPERHIDDEN = 0
همچنین این ویروس با تغییر مدخل زیر باعث تغییر تنظیمات پیش فرض Windows Update شده و به روز رسانی اتوماتیک ویندوز را غیرفعال می کند.
– HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU\NOAUTOUPDATE = 1
از دیگر آسیب های ویروس VBObfus.ct این است که در صورت اتصال حافظه های قابل حمل و دیسک های Usb به سیستم آلوده، تمامی پوشه ها و اطلاعات موجود بر روی آن بصورت مخفی در آمده و فایل های اجرایی مخرب همنام با نام پوشه ها و فایل های مخفی شده بر روی حافظه جانبی می سازد.
در صورتی که کاربر این حافظه جانبی را به سیستم دیگری متصل کند با دیدن نام آشنای فایل ها گول خورده و به خیال خود برای باز کردن اطلاعات به اشتباه باعث اجرای فایل مخرب ویروس شده و سیستم را آلوده می کند.
همچنین ویروس تلاش می کند با نشانی های زیر ارتباط برقرار کند:
– 255.255.255.***:8003
– 178.170.148.**:8003
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا و عدم اجرای فایل های مشکوک بر روی حافظه های جانبی، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6641 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.