شرح کلی
نوع: کرم (worm)
اسامی بدافزار:
USBWorm.Win32.Gamarue
Worm.Win32.Gamarue
Downloader.Win32.Gamarue
Packer.Win32.Gamarue
Dropper.Win32.Gamarue
Backdoor.Win32.Gamarue
Worm.Win32.Debris
درجه تخریب: زیاد
میزان شیوع: زیاد
کرم (worm) چیست؟
کرمهای کامپیوتری همچون Gamarue نوعی از بدافزار محسوب میشوند که توان تکثیر کردن خود را بهصورت خودکار دارند. کرمها برای بقا، روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه هست.
بدافزار Gamarue چیست؟
بدافزار Gamarue در دسته کرمها قرارگرفته و با تشخیص درایوهای قابلحمل (فلش، هارد اکسترنال و …) آنها را آلوده میکند. این بدافزار از طریق ارتباط با شبکه و تزریق کد در پردازههای سالم سیستم قربانی، میتواند فایلهای مخرب دیگری را دانلود کرده و آنها را اجرا کند و همچنین در حین اجرا اطلاعاتی از سیستم قربانی را سرقت کرده و به سرورهای مشخصی ارسال کند.
توضیحات فنی
از علائم آلودگی بدافزار Gamarue میتوان به وجود پردازههای در حال اجرای msiexec.exe یا wuauclt.exe یا svchost.exe که نام پردازهی پدری برای آنها مشخص نشده است اشاره کرد. گاهی پردازهای با نام و پسوند تصادفی در حال اجرا است که همان msiexec.exe آلوده هست. همچنین برخی فایلها و دایرکتوریها در سیستم دیده نمیشوند، حتی با تغییر تنظیمات به حالت “نشان دادن فایلها و دایرکتوریها و درایوهای مخفی”. همچنین، وجود کلید رجیستریهای زیر میتواند نشانه آلوده بودن سیستم به این بدافزار باشد.
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SunJavaUpdateSched = “%User Profile%\svchost.exe”
- HKCU\Software
- ImageBase = “{random values}”
- HKLM\SOFTWARE\Microsoft
- 0022FF03= “{random values}”
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- 419=”[SystemRoot]:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\{random}.{extension name}
وجود فایلها و دایرکتوریها در مسیرهای زیر میتواند نشانه آلوده بودن سیستم به این بدافزار باشد.
- %User Temp%\Qalugafisoje.gek
- %User Temp%\tunupugeyi.exe
- %User Temp%\Yuzohalojig.dll
- %User Temp%\Xateyilobak.dll
- %User Temp%\cunapoqaga.dll
- %User Temp%\Jotelodoris.dll
- %User Temp%\sujifecezav.dll
- %User Temp%\luporejebe.dll
- %User Temp%\pazojarofina.dll
- %User Temp%\Hefumonave.dll
- %User Temp%\Notirolukih.Xik
- %User Temp%\gihifolame.exe
- %User Temp%\#MSI\msiexec.exe
- %User Temp%\Notirolukih.Xik
- %User Profile%\svchost.exe”
- ایجادLnk با دایرکتوری بینام در درایو قابلحمل
این بدافزار در هر بار راهاندازی سیستم قربانی، مجدداً اجرا میشود. عملکرد این بدافزار بدینصورت است که یک دایرکتوری بینام در درایو قابلحمل ایجاد میکند و تمامی محتویات درایو قابلحمل به این دایرکتوری منتقل میشوند. همچنین فایل میانبری همانند آیکون درایو قابلحمل در فضای درایو قابلحمل ساخته میشود که اشاره به فایل اجرایی بدافزار در دایرکتوری بینام دارد. در ادامه قربانی برای دسترسی به فایلها، با اجرای میانبر، باعث اجرای کرم بر روی سیستمی که درایو قابلحمل به آن متصل شده است میشود. بدافزار پس از آلوده سازی سیستم از سرورهای مشخصی فایلهای مخرب خود را دانلود میکند. این بدافزار تا کنون بدافزارهای مهم و مخربی چون Zeus , Tropig/Sinowal , Fareit و .. را دانلود کرده و سیستم قربانیان را به این بدافزارها آلوده نموده است.برخی گونههای این بدافزار به محیط سندباکس حساس هستند و در صورت شناسایی این محیطها عملیات مخرب خود را متوقف میکنند.
روش مقابله و پاکسازی سیستم
پادویش با دارا بودن قابلیت UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابلحمل را میگیرد. ازاینرو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابلحمل انتقال میابند ازجمله بدافزار Gamarue پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Gamarue آلوده شده است مراحل زیر را دنبال کنید:
- پادویش را بر رو سیستم خود نصب کنید.
- درایو قابلحمل آلوده را به سیستم وصل کنید.
- با استفاده از پادویش درایو قابلحمل خود را اسکن کنید تا درایو قابلحمل و سیستم آلوده شما پاکسازی شود.
همچنین میتوانید به عنوان یک راهحل موقت از سایت پادویش پاکساز Gamarue را دانلود کرده و سیستم خود را پاکسازی نمایید.