ويروس Vundo.gen.w
چیست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. اولین نمونه ی این ويروس در دی ماه سال 1387مشاهده شد که اقدام به دریافت اطلاعات جستجوی کاربر در اینترنت می نمود و براساس این اطلاعات پیغام ها و تبلیغات خاصی را نمایش می داد. آخرین نمونه ی این اسب تروا در اردیبهشت ماه سال جاری (1391) منتشر شده است. در حال حاضر بیشترین آلودگی ها در ایالات متحده ی آمریکا و سپس هند مشاهده شده است.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Vundo.gen.w!58131189FE98 | McAfee |
(GriSoft) SHeur2.MDT | AVG |
TR/Vundo.Gen | avira |
Packed.Win32.Mondera.a | Kaspersky |
Trojan.Packed.54889 | BitDefender |
trojan:win32/vundo.gen!c | Microsoft |
Trojan.Vundo | Symantec |
a variant of Win32/Adware.Virtumonde.NFD application | Eset |
W32/Virtumonde.ANHR | norman |
Troj/Virtum-Gen | Sophos |
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس Vundo.gen.w نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
ویروس Vundo.gen.w فایلهای مخرب زیر را در دستگاه آلوده کپی می کند:
%WINDIR%\SYSTEM32\mlJCRiHa.dll
%TEMP%\byXQKbAR.bat
این ویروس پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آنرا در پروسه های سیستمی و هر پروسه ای که پس آز آن در حافظه بار گذاری می شود، تزریق نموده و از این طریق باعث اجرای کد مورد نظر شود. به بیان دیگر ویروس Vundo.gen.w تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری مانند Winlogon می باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.
از دیگر خرابکاری های این ویروس تغییر مقادیر مربوط به پوسته ی سیستم عامل (shell) در محضرخانه ی سیستم آلوده است که می تواند برای باز شدن برنامه های مخرب به هنگام راه اندازی سیستم استفاده شود.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS\ {6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C{
پیشگیری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6715 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.