ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. نمونه ی اول ايــن ويروس که یک Rootkit پیشرفته می باشد با ورودش در سال 2008 توجه تمامی کارشناسان امنیتی را به خود جلب نمود.
چیست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. نمونه ی اول ايــن ويروس که یک Rootkit پیشرفته می باشد با ورودش در سال 2008 توجه تمامی کارشناسان امنیتی را به خود جلب نمود. این ویروس برای نرم افزار های آنتی ویروس تقریبا غیر قابل شناسایی بود و به علت استفاده ی آن از دستور العمل های سطح پایین محققان نیز به سختی آن را شناسایی می کردند. همچنین رمزنگاری داخلی این ویروس باعث می شود ابزار های مانیتورینگ شبکه قادر به تشخیص ارتباط دستگاه آلوده به این ویروس با سرور های کنترل کننده، نباشند. تا به حال 4 نگارش دیگر از این Rootkit منتشر شده است.
انتشار
این Rootkit از روش های مختلفی برای انتشار استفاده می کند که چند نمونه از آنها عبارتند از :
– وب سایت های آلوده و هک شده
– هرزنامه هایی که دارای پیوندی (Link) به ویروس هستند
– پیوست نامه ی الکترونیکی (Email) که خود را به صورت فایل های سودمند یا جذاب نشان می دهند
– نرم افزار های سرقت شده (Crack)
همچنین کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار ويروس TDSS.e!rootkit هستند.
خرابکاری
مانند دیگر Rootkitهای TDSS بخش آلوده بصورت رمزنگاری شده درون یک عامل انتشار ذخیره شده و پیش از اجرا بر روی سیستم قربانی رمزگشایی می شود.
به محض اجرای ناقل ویروس بر روی سیستم قربانی، یک فایل Dll بر روی سیستم ساخته شده و با فراخوانی پروسه ی SPOOLSV.EXE این فایل Dll اجرا خواهد شد. با اجرای این فایل کتابخانه ای و با اجرای تابع ZwLoadDriver (که برای بارگذاری راه انداز استفاده می شود) یک سرویس با نامی تصادفی بر روی سیستم ساخته می شود. سپس ویروس TDSS.e!rootkit با در اختیار گرفتن روال سیستمی KiDebugRoutine تمامی اثرات و ردپای خود در حافظه را مخفی نموده و عملا برای برنامه هایی که می خواهند به آنرا پیدا کنند غیر قابل دسترسی خواهد شد.
سپس ویروس با آلوده نمودن یکی از فایلهای راه انداز سیستمی (فایل با پسوند .Sys) موجود در دستگاه، تضمین می کند که با هر بار راه اندازی سیستم بلافاصله اجرا شود. همچنین با دستکاری نمودن هسته ی سیستم عامل هر زمان که فایل آلوده ی .Sys مورد فراخوانی قرار گیرد ویروس نسخه ی غیر آلوده ی آن را بر می گرداند به این طریق آلودگی این فایل سیستمی مشخص نخواهد شد.
پس از اجرای ویروس بر روی سیستم آلوده، با استفاده از کد کنترلی IOCTL_SCSI_PASS_THROUGH_DIRECT I/O تمام عملیات خواندن و نوشتن بر روی حافظه را تحت کنترل خود در می آورد.
از دیگر خرابکاری های این Rootkit دریافت و ارسال اطلاعات به سرویس دهنده های راه دور می باشد که نشانی بعضی از آنها را در زیر مشاهده می نمایید:
– https://nichtadden.in
– https://91.212.226.67
– https://li1i16b0.com
– https://zz87jhfda88.com
– https://n16fa53.com
– https://01n02n4cx00.cc
– https://lj1i16b0.com
– http://clickpixelabn.com
– http://thinksnotaeg.com
– http://ijmgwarehouse.com
– http://getbestbanner.com
– http://pixelrotator.com
– http://rf9akjgh716zzl.com
– http://justgomediainc.in
پیشگیری
به روز نگه داشتن ضدويروس در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند. با توجه به وجود فایل های آلوده به این ویروس در شبکه های اشتراک فایل (P2P)، بهتر است از دریافت فایل های ناشناس و مشکوک (و معمولا جذاب) از این شبکه ها خودداری گردد.
برای پاکسازی بدافزارهای از نوع Rootkit می توان از نرم افزار مستقل مک آفی که در نشانی زیر موجود است، استفاده کرد:
http://update.shabakeh.net/download/tools/rootkitremover.zip
اگر از ضدویروس McAfee VirusScan Enterprise استفاده می کنید، اجرای دستور زیر در حالت Safe mode فایل های آلوده و اسب های تروا را پاکسازی می نماید:
VSE 8.7
“C:Program FilesMcAfeeVirusScan Enterprisecsscan.exe” -All -Unzip -Program -Analyze -Sub -Clean -Log c:scan-rpt.txt C: o
VSE 8.8
“C:Program FilesCommon FilesMcAfeeSystemCorecsscan.exe” -All -Unzip -Program -Analyze -Sub -Clean -Log c:scan-rpt.txt C:
ضدویروس مک آفی با فایلهای اطلاعاتی 6690 قادر به شناسایی و پاکسازی ویروس ذکر شده می باشد، گرچه در برخی از موارد لازم است این ویروس یابی در حالت Safe Mode انجام گیرد.