Virus.Win32.Pioneer

شرح کلی

نوع: ویروس (Virus)

درجه تخریب: بالا

میزان شیوع در ایران: زیاد

اسامی بدافزار

  • Virus.Win32.Pioneer.a (Padvish)
  • Win32/Floxif.H (ESET)
  • Virus:Win32/Floxif.H (Microsoft)
  • Virus.Win32.Pioneer.cz (Kaspersky)

ویروس (Virus) چیست؟

ویروس‌های کامپیوتری همچون Pioneer نوعی از بدافزار محسوب می‌شوند که قادر به تکثیر خودکار نیستند. ویروس‌ها می‌توانند کلیه فایل‌های اجرایی قابل دسترس در سیستم که معمولاً دارای پسوندهای exe. و dll. هستند  را آلوده نمایند. ویروس‌ها در زمان اجرا به دنبال فایل‌های آلوده نشده (میزبان) می‌گردند و برای تکثیر خود نیازمند فایل میزبان هستند تا کدهای خود را میان کدهای فایل میزبان قرار دهند. سپس با هر بار اجرا شدن فایل آلوده شده، کد مخرب نیز هم‌زمان اجرا می‌شود.

بدافزار Pioneer چیست؟

این ویروس فایل‌های اجرایی و بعضی از سرویس‌ها و فایل‌های ویندوزی را آلوده می‌کند. از طریق ساختن نخ‌های متعدد در حین اجرا، فایل‌های اجرایی، سرویس‌ها و فایلهای ویندوزی را به منظور آلوده سازی آنها جست و جو می‌کند.
از اهداف این خانواده بدافزاری می‌توان به موارد زیر اشاره کرد:
• جمع آوری اطلاعات سیستم برای ارسال به سرورهای مخرب
• دانلود و اجرای بدافزارها و نرم افزارهای مخرب دیگر
• ذخیره و ارسال پسوردهای وارد شده توسط مرورگر IE

توضیحات فنی

علائم آلودگی

• کند شدن سرعت سیستم به دلیل اشغال شدن CPU و RAM به علت اجرای مداوم سرویس‌هایی که آلوده شده اند.
• وجود یک سکشن اضافی با نام vmp0 در انتهای سکشن‌های فایل‌های آلوده.
• وجود فایلی با نام wsr25zt32.dll در سیستم، حاوی گزارشی از اطلاعات جمع آوری شده از روی سیستم آلوده، برای ارسال به سرور خود.
• وجود اطلاعات زیر در رجیستری‌:

HKEY_CURRENT_USER\Software\Microsoft\Currentversion\Internet Setting\1
valuename = “1609”
valuename = “1406”
valuename = “2103”

HKEY_CURRENT_USER\Software\Microsoft\Currentversion\Internet Setting\2
valuename = “1609”
valuename = “1406”
valuename = “2103”

HKEY_CURRENT_USER\Software\Microsoft\Currentversion\Internet Setting\3
valuename = “1609”
valuename = “1406”
valuename = “2103”

HKEY_CURRENT_USER\Software\Microsoft\Currentversion\Internet Setting\4
valuename = “1609”
valuename = “1406”
valuename = “2103”

این مقادیر برای تعریف پورت برای پراکسی توسط بدافزار تنظیم می شوند.

شرح عملکرد

  • در ابتدای اجرا، ویروس سعی می‌کند با دامنه‌های زیر ارتباط برقرار کند:

ferrglashing.cc
vilbeaf-pestare.ru
avpzcheckshop.ru
mkz-coffespores.cc
avpzcheckshop2.ru
peshavar-Xtourism.com
indirs-factor.ws
www.indirs-factor.ws

  • بعد از ایجاد ارتباط، بدافزار به صورت تصادفی اقدام به تولید سرورهایی می‌کند که حاوی اطلاعات MD5- sha1- sha256- tiger128,3 از فایل‌ها می‌باشند. مانند چند نمونه زیر:

gefa-bugin.com
pykyb-aguh.ru
decub-ydyg.ru

  • بدافزار بعد از اتصال به سرورهای مخرب، بدافزارها و نرم افزارهای مخرب دیگری  را دانلود و در سیستم قربانی نصب و اجرا می کند.
  • آلوده کردن فایل‌های اجرایی: به منظور آلوده کردن فایل‌ها یک سکشن با نام vmp0 به انتهای سکشن فایل سالم اضافه می‌کند، سپس بدافزار تکه کدی از فایل سالم  را جدا کرده و در این سکشن اضافی قرار می‌دهد و فایل خود بدافزار را به صورت کد شده در همین قسمت از فایل سالم قرار می‌دهد سپس آدرس آن را به آدرس EntryPoint برنامه تغییر می‌دهد.
  • به دنیال سرویس‌هایی که Running نباشند می‌گردد و بعد از آلوده کردن آنها را استارت می‌کند.
  • جمع آوری مشخصات سیستم و ارسال آنها برای سرور بدافزار:
    مشخصات سیستم عامل
    Windows Product ID
    مشخصات درایو c
  • Protection را برای فایلهای Protected غیرفعال می کند و سپس آن‌ها را آلوده می کند.
  • در یکی از نخ‌ها تمامی فایل‌های xml  را جستجو می‌کند و به صورت تصادفی بعضی از آنها را حذف می‌کند.
  • پسوردهای وارد شده بواسطه مرورگر IE  را، با باز کردن مسیر رجیستری HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\IntelliForms\Storage2 ذخیره و به سرور مخرب ارسال می‌کند.
  • بعضی از سرویس‌ها و پنجره‌های باز  را به صورت تصادفی Terminate می‌کند.

روش انتشار

خود را به دو شیوه انتشار می‌دهد:
از طریق Removable disk‌ برای انتشار به سیستم‌های دیگر
از طریق آلوده کردن سرویس‌ها، فایلهای اجرایی و ویندوزی برای انتشار به درایوهای دیگر سیستم آلوده

روش مقابله و پاک‌سازی سیستم

پادویش با دارا بودن قابلیت UMP که بخشی از محافظت رفتاری آن محسوب می‌شود، از آلوده شدن سیستم از طریق درایو قابل‌ حمل جلوگیری می‌کند. از این‌ رو جهت پیشگیری از آلودگی به انواع بدافزارهایی همچون بدافزار Pioneer که از این طریق منتشر می‌شوند، پیشنهاد می‌گردد با نصب آنتی ویروس پادویش نسبت به عدم آلودگی دستگاه خود اطمینان حاصل کنید.