شرح کلی
نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Macoute
درجه تخریب: زیاد
میزان شیوع: زیاد
کرم (worm) چیست؟
کرمهای کامپیوتری همچون Macoute نوعی بدافزار محسوب میشوند که توان تکثیر کردن خود را به صورت خودکار دارند. کرمها برای بقا، روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه صورت میگیرد.
بدافزار Macoute چیست؟
این بدافزار اقدام به ذخیره اطلاعات و کلیدهای فشرده شده در سیستم کاربر میکند و به این وسیله میتواند اطلاعات مهمی مانند اطلاعات بانکی و رمزهای عبور کاربر را شناسایی و به سرور خود ارسال کند. روش شیوع این بدافزار به این صورت است که بعد از شناسایی درایوهای قابل حمل، یک کپی از خود را به ازای تمامی پوشههای موجود در این درایوها قرار میدهد و سپس آیکون پوشه را بر روی کپی خود قرار میدهد تا خود را بجای پوشه اصلی جا بزند.
توضیحات فنی
این بدافزار دارای ماژول Keylogger بوده که کلیدهای فشرده شده توسط صفحه کلید را ذخیره میکند. فعالیت Keylogger به این صورت است که فایلی به نام Iosystem.dll را در سیستم ساخته و اطلاعات را در این فایل ذخیره و برای سرور خود ارسال میکند. همچنین، بدافزار در هر بار راهاندازی سیستم مجددا اجرا میشود. این بدافزار نوع درایوهای مختلف را بررسی میکند و در صورتی که درایو از نوع درایو قابلحمل باشد، یک کپی از خود را به ازای تمامی پوشههای موجود در این درایوها قرار میدهد و سپس آیکون پوشه را بر روی این کپی قرار میدهد.
علائم آلودگی
- وجود یک پوشه با نام win در مسیر program files و وجود کپی بدافزار به نام exe با آیکون شبیه به پوشههای ویندوز در این مسیر.
- وجود یک فایل به نام dll در مسیر %temp%
- این بدافزار برای بقا فایلهای اجرایی خود را در رجیستری HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run قرار میدهد.
روش مقابله و پاکسازی سیستم
پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، جلوی آلوده شدن سیستم از طریق درایو قابل حمل را میگیرد. ازاینرو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل حمل انتقال مییابند، از جمله بدافزار Macoute پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Macoute آلوده شده است، مراحل زیر را دنبال کنید:
۱. پادویش را بر روی سیستم خود نصب کنید.
۲. درایو قابل حمل آلوده را به سیستم وصل کنید.
۳. با استفاده از پادویش، درایو قابلحمل خود را اسکن کنید تا درایو قابل حمل و سیستم آلوده شما پاکسازی شوند.