ويروس Vundo.gen.w

چیست؟

ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. اولین نمونه ی این ويروس در دی ماه سال 1387مشاهده شد که اقدام به دریافت اطلاعات جستجوی کاربر در اینترنت می نمود و براساس این اطلاعات پیغام ها و تبلیغات خاصی را نمایش می داد. آخرین نمونه ی این اسب تروا در اردیبهشت ماه سال جاری (1391) منتشر شده است. در حال حاضر بیشترین آلودگی ها در ایالات متحده ی آمریکا و سپس هند مشاهده شده است.

اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

Vundo.gen.w!58131189FE98McAfee
(GriSoft) SHeur2.MDTAVG
TR/Vundo.Genavira
Packed.Win32.Mondera.aKaspersky
Trojan.Packed.54889BitDefender
trojan:win32/vundo.gen!cMicrosoft
Trojan.VundoSymantec
a variant of Win32/Adware.Virtumonde.NFD applicationEset
W32/Virtumonde.ANHRnorman
Troj/Virtum-GenSophos

 

 

 

 

 

 

 

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار ويروس Vundo.gen.w نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

 

خرابکاری

ویروس Vundo.gen.w فایلهای مخرب زیر را در دستگاه آلوده کپی می کند:

%WINDIR%\SYSTEM32\mlJCRiHa.dll
%TEMP%\byXQKbAR.bat

این ویروس پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آنرا در پروسه های سیستمی و هر پروسه ای که پس آز آن در حافظه بار گذاری می شود، تزریق نموده و از این طریق باعث اجرای کد مورد نظر شود. به بیان دیگر ویروس Vundo.gen.w تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری مانند Winlogon می باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.

از دیگر خرابکاری های این ویروس تغییر مقادیر مربوط به پوسته ی سیستم عامل (shell) در محضرخانه ی سیستم آلوده است که می تواند برای باز شدن برنامه های مخرب به هنگام راه اندازی سیستم استفاده شود.

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS\ {6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C{

 

پیشگیری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 6715 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *