USBWorm.Win32.Gamarue

شرح کلی

نوع: کرم (worm)
اسامی بدافزار:
USBWorm.Win32.Gamarue
Worm.Win32.Gamarue
Downloader.Win32.Gamarue
Packer.Win32.Gamarue
Dropper.Win32.Gamarue
Backdoor.Win32.Gamarue
Worm.Win32.Debris
درجه تخریب: زیاد
میزان شیوع: زیاد

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون Gamarue نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Gamarue چیست؟

بدافزار Gamarue در دسته کرم‌ها قرارگرفته و با تشخیص درایوهای قابل‌حمل (فلش، هارد اکسترنال و …) آن‌ها را آلوده می‌کند. این بدافزار از طریق ارتباط با شبکه و تزریق کد در پردازه‌های سالم سیستم قربانی، می‌تواند فایل‌های مخرب دیگری را دانلود کرده و آن‌ها را اجرا کند و همچنین در حین اجرا اطلاعاتی از سیستم قربانی را سرقت کرده و به سرورهای مشخصی ارسال کند.

توضیحات فنی

از علائم آلودگی بدافزار Gamarue می‌توان به وجود‌ پردازه‌های در حال اجرای msiexec.exe یا wuauclt.exe یا svchost.exe که نام پردازه‌ی پدری برای آن‌ها مشخص نشده است اشاره کرد. گاهی پردازه‌ای با نام و پسوند تصادفی در حال اجرا است که همان msiexec.exe آلوده هست. همچنین برخی فایل‌ها و دایرکتوری‌ها در سیستم دیده نمی‌شوند، حتی با تغییر تنظیمات به حالت “نشان دادن فایل‌ها و دایرکتوری‌ها و درایوهای مخفی”. همچنین، وجود کلید رجیستری‌های زیر می‌تواند نشانه آلوده بودن سیستم به این بدافزار باشد.

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • SunJavaUpdateSched = “%User Profile%\svchost.exe”
  • HKCU\Software
    • ImageBase = “{random values}”
  • HKLM\SOFTWARE\Microsoft
    • 0022FF03= “{random values}”
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    • 419=”[SystemRoot]:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\{random}.{extension name}

وجود فایل‌ها و دایرکتوری‌ها در مسیر‌های زیر می‌تواند نشانه آلوده بودن سیستم به این بدافزار باشد.

  • %User Temp%\Qalugafisoje.gek
  • %User Temp%\tunupugeyi.exe
  • %User Temp%\Yuzohalojig.dll
  • %User Temp%\Xateyilobak.dll
  • %User Temp%\cunapoqaga.dll
  • %User Temp%\Jotelodoris.dll
  • %User Temp%\sujifecezav.dll
  • %User Temp%\luporejebe.dll
  • %User Temp%\pazojarofina.dll
  • %User Temp%\Hefumonave.dll
  • %User Temp%\Notirolukih.Xik
  • %User Temp%\gihifolame.exe
  • %User Temp%\#MSI\msiexec.exe
  • %User Temp%\Notirolukih.Xik
  • %User Profile%\svchost.exe”
  • ایجادLnk با دایرکتوری بی‌نام در درایو قابل‌حمل

این بدافزار در هر بار راه‌اندازی سیستم قربانی، مجدداً اجرا می‌شود. عملکرد این بدافزار بدین‌صورت است که یک دایرکتوری بی‌نام در درایو قابل‌حمل ایجاد می‌کند و تمامی محتویات درایو قابل‌حمل به این دایرکتوری منتقل می‌شوند. همچنین فایل میانبری همانند آیکون درایو قابل‌حمل در فضای درایو قابل‌حمل ساخته می‌شود که اشاره به فایل اجرایی بدافزار در دایرکتوری بی‌نام دارد. در ادامه قربانی برای دسترسی به فایل‌ها، با اجرای میانبر، باعث اجرای کرم بر روی سیستمی که درایو قابل‌حمل به آن متصل شده است می‌شود. بدافزار پس از آلوده سازی سیستم از سرورهای مشخصی فایل‌های مخرب خود را دانلود می‌کند. این بدافزار تا کنون بدافزارهای مهم و مخربی چون Zeus , Tropig/Sinowal , Fareit و .. را دانلود کرده و سیستم قربانیان را به این بدافزارها آلوده نموده است.برخی گونه‌های این بدافزار به محیط سندباکس حساس هستند و در صورت شناسایی این محیط‌ها عملیات مخرب خود را متوقف می‌کنند.

 

روش مقابله و پاک‌سازی سیستم

پادویش با دارا بودن قابلیت UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال میابند ازجمله بدافزار Gamarue پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.

چنانچه سیستم شما توسط بدافزار Gamarue آلوده شده است مراحل زیر را دنبال کنید:

  1. پادویش را بر رو سیستم خود نصب کنید.
  2. درایو قابل‌حمل آلوده را به سیستم وصل کنید.
  3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.

همچنین می‌توانید به ‌عنوان‌ یک راه‌حل موقت از سایت پادویش پاکساز Gamarue را دانلود کرده و سیستم خود را پاک‌سازی نمایید.