ويروس PWS-Spyeye
چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و اقدام به دزديدن نام های کاربری و رمزهای ذخيره شده بر روی کامپيوتر قربانی می کند. هدف از طراحی این ویروس، دزدیدن اطلاعات حساب بانکی و رمز ورود به حساب کاربری بانکی و ارسال برای سرویس دهنده های راه دور به منظور سوءاستفاده های مالی است. اولين نمونه اين ويروس در اسفند ماه سال 1389 مشاهده شد و نمونه جدید آن در اسفند ماه سال جاری (1390) منتشر شده است.
نامگذاری ها
اين ويروس با نام های زير نیز شناسايی می شود:
Trojan-Spy.Win32.SpyEyes.gyi
Trojan:Win32/EyeStye.N
Trojan.Spyeye
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و هنگامی که او تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا برخلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی، حذف فایل کافی است.
فایل آلوده به این ویروس به صورت پیوست یک نامه الکترونیکی و یا از طریق حملات وب با استفاده Toolkitها و یا با آلوده کردن دستگاه های تلفن همراه موبایل از طریق شماره تلفن و همچنین مهندسی اجتماعی به سیستم قربانی راه پیدا می کند.
خرابکاری
گونه های مختلفی از اسب تروا PWS-Spyeye وجود دارد که هرکدام آسیب های خاص خود را دارند ولی چیزی که در اینجا گفته می شود شناخته شده ترین خصوصیات این اسب ترو است:
به محض اجرای این اسب تروا یک نسخه از آن با نام تصادفی در مسیر زیر کپی می شود:
– C:\Recycle.Bin\[Randomly generated binary filename].exe
– C:\Recycle.Bin\[Randomly generated data filename]
البته بعضی از نسخه های این ویروس با ساختن یک پوشه ی تصادفی در درایو C:\ خود را در آن قرار می دهند. بعضی از این نمونه فایل ها در زیر آمده است:
– C:\Documents and Settings\[User Name]\Application Data\Keotzu\efum.exe
– C:\Documents and Settings\[User Name]\Application Data\Muik\ichiy.ana
– C:\Documents and Settings\[User Name]\Application Data\Muik\ichiy.tmp
– C:\Documents and Settings\[User Name]\Application Data\Microsoft\Address Book\[UserName].wab
پس از قرار گرفتن یک نسخه از ویروس در حافظه سیستم قربانی با تغییر مدخل زیر ویروس خود را بصورت Autorun با هر بار راه اندازی مجدد سیستم اجرا می کند.
– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
{Random UID} = C:\Recycle.Bin\[Random FileName].exe /q
از آسیب های این اسب تروا تغییر تنظیمات پیش فرض مرورگر IE است که یک نمونه از این تغییرات را که باعث تغییر نحوه ذخیره حافظه مرورگر می شود را در مدخل زیر می بینید:
– [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Recovery]
ClearBrowsingHistoryOnExit = 0x00000000
همچنین اسب تروا PWS-Spyeye با استفاده از قابلیت Rootkit با در اختیار گرفتن برخی از توابع برنامه نویسی (API)های سطح پایین، باعث مخفی شدن فایل ها و پوشه ها و مدخل های مخربش می شود. بعضی از این API ها عبارتند از:
– ntdll.dll!NtEnumerateValueKey
– ntdll.dll!NtQueryDirectoryFile
– ntdll.dll!NtResumeThread
– ntdll.dll!NtSetInformationFile
– ntdll.dll!NtVdmControl
– ntdll.dll!NtClose
همینطور با در اختیار گرفتن بعضی از توابع سطح پایین سیستم عامل، این اسب تروا می تواند اطلاعات رمز عبور و اطلاعات وارد شده توسط صفحه کلید را بدزدد. سپس ویروس اطلاعات خوانده شده را از طریق پودمان HTTP برای یک سرویس دهنده راه دور ارسال می کند که بعضی از این ارتباطات راه دور در زیر آمده اند:
– http://girodiza.com/_cp/gate.php
– http://gonafon.com/_cp/gate.php
– http://taranado.com/_cp/gate.php
– http://servistorat.com/_cp/gate.php
– http://detritonal.com/_cp/gate.php
– http://lofaridok.com/_cp/gate.php
– http://funtovikoff.com/_cp/gate.php
– http://thenfind.com/_cp/gate.php
سپس ویروس پس از بررسی وضعیت اتصال با اینترنت، با نشانی های زیر برای دریافت فایل های آلوده دیگر و نسخه های جدیدتر خود ارتباط برقرار می کند:
– 210.211.110.222
– 195.14.112.118
– 97.74.158.23
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برسانند.
استفاده از امکانات پیشگیرانه مانند آنچه در بخش Access Protection ضدویروس McAfee VirusScan Enterprise وجود دارد، جلوی برخی از روش های انتشار و اقدامات خلافکارانه آن را می گیرد.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6648 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.
