چیست؟
ويروسی که عملکرد “کرم” (Worm) داشته و توسط دیگر اسب های تروا و به صورت پیوست نامه های الکترونیکی دریافت شده و با آلوده نمودن سیستم اقدام به ارسال نامه های الکترونیکی از دستگاه قربانی می نماید.
حروف HTA در ابتدای نام این ویروس اشاره به استفاده فایل از فایلهای هم خانواده HTML دارد.
درحال حاضر درجه ی خطر این کرم پایین می باشد، به این معنی که بصورت گسترده در جهان پخش نشده است.
انتشار
این ویروس به صورت پیوست یک نامه ی الکترونیکی با مشخصات زیر دریافت می شود:
موضوع (Subject) : “FW:Mejores Amigos!!!”
متن (Body) : “Mejores Amigos!!!” “Asi son los amigos”
نامه حاوی پیوستی با نام Mejores Amigos.zip می باشد که یک فایل فشرده است. این فایل فشرده حاوی 2 فایل مخرب زیر است:
– Mejores Amigos.lnk
– Informacion Importante.lnk
ویروس HTA/Autorun.worm برای انتشار لیست نشانی های موجود در برنامه ی Outlook بر روی سیستم را جمع آوری نموده و خود را برای تمامی این نشانی ها به صورت نامه ی الکترونیکی ارسال می نماید. اطلاعات نامه های الکترونیکی ارسال شده در کلید زیر در محضرخانه ی سیستم ذخیره می شود:
– HKCU\software\OnTheFly\maile
خرابکاری
به محض اجرا شدن ویروس، برنامه ای از نوع HTA) HTML Application) به نام MsnClonMailer فعال می شود.
– hxxp://www.<Removed>.com/images/msnmsgr.tpl?1334166764297
همچنین برنامه ی دیگری با نام MsnClonInfector از نشانی زیر فعال می شود:
– hxxp://187.157.146.149:102/m0rpheus/morpheus2010/msnmsgr.tpl? Update20120411_exp2012_05_06_09_21_17
(نشانی های مربوط به ویروسها تغییر داده شده اند تا قابل کلیک کردن نباشند.)
سپس تمامی پروسه های زیر توسط ویروس بسته می شوند:
– avgnt.exe
– avguard.exe
– avshadow.exe
– chrome.exe
– firefox.exe
– GoogleUpdate.exe
– msnmsgr.exe
– GoogleCrashHandler.exe
پس از اتمام نصب، یک برنامه ی جعلی که ظاهری کاملا شبیه به برنامه ی MSN Messenger دارد، باز می شود.
– hxxp://www.<Removed>.com/images/live.htm
با آلوده شدن سیستم فایل های مخرب زیر در سیستم قرار می گیرند:
– %RootDir%\Program Files\archivos.exe
– [location original sample was run]\M0rPheuS.tpl
این فایل با عنوان (HTA/Autorun.worm.gh) توسط ضدویروس شناسایی می گردد.
– [location original sample was run]\Windows LiveMessenger.lnk
این فایل با عنوان (HTA/Autorun.worm.gh!lnk) توسط ضدویروس شناسایی می گردد.
– C:\M0rPheuS.tpl
این فایل با عنوان (HTA/Autorun.worm.gh) توسط ضدویروس شناسایی می گردد.
– C:\Windows Live Messenger.lnk
این فایل با عنوان (HTA/Autorun.worm.gh!lnk) توسط ضدویروس شناسایی می گردد.
– %UserDir%\My Documents\M0rPheuS.tpl
این فایل با عنوان (HTA/Autorun.worm.gh) توسط ضدویروس شناسایی می گردد.
– %UserDir%\[user]\msn\a.txt
– %UserDir%\[user]\msn\d.reg
– %UserDir%\[user]\msn\d.tpl
– %UserDir%\[user]\msn\InformacionImportante.lnk
این فایل با عنوان (HTA/Autorun.worm.gh!lnk) توسط ضدویروس شناسایی می گردد.
– %UserDir%\[user]\msn\M0rPheU$.jpg
– %UserDir%\[user]\msn\m2012_04.exe
– %UserDir%\[user]\msn\m2012_04.tt
– %UserDir%\[user]\msn\mailer.tpl
– %UserDir%\[user]\msn\mailpv.exe
این فایل با عنوان ) (PWCrackMailPassView توسط ضدویروس شناسایی می گردد.
– %UserDir%\[user]\msn\mailpv.tt
این فایل با عنوان ) (PWCrackMailPassView توسط ضدویروس شناسایی می گردد.
– %UserDir%\[user]\msn\mails.hta
– %UserDir%\[user]\msn\Mejores Amigos.lnk
– %UserDir%\[user]\msn\Mejores Amigos.zip
– %UserDir%\[User]\m0rpheus\check.txt
– %UserDir%\[User]\m0rpheus\M0rPheuS.tpl
این فایل با عنوان (HTA/Autorun.worm.gh) توسط ضدویروس شناسایی می گردد.
ویروس با قرار دادن فایل های زیر در شاخه Startup کاربر، تضمین می کند که با هر بار راه اندازی سیستم بلافاصله اجرا شود:
– Actualizaciones de Windows Live.lnk
– Detector de Spywares de Windows Live.lnk
– Windows Live Messenger.lnk
از دیگر آسیب های ویروس تنظیم مدخل زیر در محضرخانه ی سیستم قربانی است که به منظور راه اندازی مکانیزم keylogger (دزدیدن اطلاعات وارد شده بر روی صفحه کلید) انجام می شود:
– HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “SpyEx”
– Data: %RootDir%\Program Files\archivos.exe
سپس ویروس تلاش می کند اطلاعات جمع آوری شده را به نشانی زیر ارسال نماید:
– hxxp://187.157.146.149:102/m2010.php
پیشگیری
استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگیری در مقابل کرمها می باشد. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا و باز کردن پیوست نامه های مشکوک، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همینطور توصیه می شود با نصب اصلاحیه زیر قابلیت خوداجرایی (Autorun) سیستم عامل ویندوز را غیر فعال کنید:
http://support.microsoft.com/kb/971029
توجه داشته باشید که این اصلاحیه خوداجرای دیسکهای CD و DVD را تغییر نمی دهد و نیز سیستم عامل Windows 7 از ابتدا به این صورت تنظیم شده و نیازی به این اصلاحیه ندارد.
ضدویروس مک آفی با فایل های بروزرسانی شماره 7612 قادر به شناسایی و پاکسازی این ویروس می باشد.