شرح کلی
نوع: ویروس (Virus)
درجه تخریب: بالا
میزان شیوع در ایران: زیاد
اسامی بدافزار
- Virus.Win32.Pioneer.a (Padvish)
- Win32/Floxif.H (ESET)
- Virus:Win32/Floxif.H (Microsoft)
- Virus.Win32.Pioneer.cz (Kaspersky)
ویروس (Virus) چیست؟
ویروسهای کامپیوتری همچون Pioneer نوعی از بدافزار محسوب میشوند که قادر به تکثیر خودکار نیستند. ویروسها میتوانند کلیه فایلهای اجرایی قابل دسترس در سیستم که معمولاً دارای پسوندهای exe. و dll. هستند را آلوده نمایند. ویروسها در زمان اجرا به دنبال فایلهای آلوده نشده (میزبان) میگردند و برای تکثیر خود نیازمند فایل میزبان هستند تا کدهای خود را میان کدهای فایل میزبان قرار دهند. سپس با هر بار اجرا شدن فایل آلوده شده، کد مخرب نیز همزمان اجرا میشود.
بدافزار Pioneer چیست؟
این ویروس فایلهای اجرایی و بعضی از سرویسها و فایلهای ویندوزی را آلوده میکند. از طریق ساختن نخهای متعدد در حین اجرا، فایلهای اجرایی، سرویسها و فایلهای ویندوزی را به منظور آلوده سازی آنها جست و جو میکند.
از اهداف این خانواده بدافزاری میتوان به موارد زیر اشاره کرد:
• جمع آوری اطلاعات سیستم برای ارسال به سرورهای مخرب
• دانلود و اجرای بدافزارها و نرم افزارهای مخرب دیگر
• ذخیره و ارسال پسوردهای وارد شده توسط مرورگر IE
توضیحات فنی
علائم آلودگی
• کند شدن سرعت سیستم به دلیل اشغال شدن CPU و RAM به علت اجرای مداوم سرویسهایی که آلوده شده اند.
• وجود یک سکشن اضافی با نام vmp0 در انتهای سکشنهای فایلهای آلوده.
• وجود فایلی با نام wsr25zt32.dll در سیستم، حاوی گزارشی از اطلاعات جمع آوری شده از روی سیستم آلوده، برای ارسال به سرور خود.
• وجود اطلاعات زیر در رجیستری:
HKEY_CURRENT_USER\Software\Microsoft\Currentversion\Internet Setting\1
valuename = “1609”
valuename = “1406”
valuename = “2103”
HKEY_CURRENT_USER\Software\Microsoft\Currentversion\Internet Setting\2
valuename = “1609”
valuename = “1406”
valuename = “2103”
HKEY_CURRENT_USER\Software\Microsoft\Currentversion\Internet Setting\3
valuename = “1609”
valuename = “1406”
valuename = “2103”
HKEY_CURRENT_USER\Software\Microsoft\Currentversion\Internet Setting\4
valuename = “1609”
valuename = “1406”
valuename = “2103”
این مقادیر برای تعریف پورت برای پراکسی توسط بدافزار تنظیم می شوند.
شرح عملکرد
- در ابتدای اجرا، ویروس سعی میکند با دامنههای زیر ارتباط برقرار کند:
ferrglashing.cc
vilbeaf-pestare.ru
avpzcheckshop.ru
mkz-coffespores.cc
avpzcheckshop2.ru
peshavar-Xtourism.com
indirs-factor.ws
www.indirs-factor.ws
- بعد از ایجاد ارتباط، بدافزار به صورت تصادفی اقدام به تولید سرورهایی میکند که حاوی اطلاعات MD5- sha1- sha256- tiger128,3 از فایلها میباشند. مانند چند نمونه زیر:
gefa-bugin.com
pykyb-aguh.ru
decub-ydyg.ru
- بدافزار بعد از اتصال به سرورهای مخرب، بدافزارها و نرم افزارهای مخرب دیگری را دانلود و در سیستم قربانی نصب و اجرا می کند.
- آلوده کردن فایلهای اجرایی: به منظور آلوده کردن فایلها یک سکشن با نام vmp0 به انتهای سکشن فایل سالم اضافه میکند، سپس بدافزار تکه کدی از فایل سالم را جدا کرده و در این سکشن اضافی قرار میدهد و فایل خود بدافزار را به صورت کد شده در همین قسمت از فایل سالم قرار میدهد سپس آدرس آن را به آدرس EntryPoint برنامه تغییر میدهد.
- به دنیال سرویسهایی که Running نباشند میگردد و بعد از آلوده کردن آنها را استارت میکند.
- جمع آوری مشخصات سیستم و ارسال آنها برای سرور بدافزار:
مشخصات سیستم عامل
Windows Product ID
مشخصات درایو c - Protection را برای فایلهای Protected غیرفعال می کند و سپس آنها را آلوده می کند.
- در یکی از نخها تمامی فایلهای xml را جستجو میکند و به صورت تصادفی بعضی از آنها را حذف میکند.
- پسوردهای وارد شده بواسطه مرورگر IE را، با باز کردن مسیر رجیستری HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\IntelliForms\Storage2 ذخیره و به سرور مخرب ارسال میکند.
- بعضی از سرویسها و پنجرههای باز را به صورت تصادفی Terminate میکند.
روش انتشار
خود را به دو شیوه انتشار میدهد:
از طریق Removable disk برای انتشار به سیستمهای دیگر
از طریق آلوده کردن سرویسها، فایلهای اجرایی و ویندوزی برای انتشار به درایوهای دیگر سیستم آلوده
روش مقابله و پاکسازی سیستم
پادویش با دارا بودن قابلیت UMP که بخشی از محافظت رفتاری آن محسوب میشود، از آلوده شدن سیستم از طریق درایو قابل حمل جلوگیری میکند. از این رو جهت پیشگیری از آلودگی به انواع بدافزارهایی همچون بدافزار Pioneer که از این طریق منتشر میشوند، پیشنهاد میگردد با نصب آنتی ویروس پادویش نسبت به عدم آلودگی دستگاه خود اطمینان حاصل کنید.