Worm.Win32.AutoRun

شرح کلی

نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.AutoRun
درجه تخریب: زیاد
میزان شیوع: زیاد

کرم (worm) چیست؟

کرم های کامپیوتری همچون AutoRun نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار AutoRun چیست؟

این بدافزار کرمی است که به ذخیره اطلاعات سیستم پرداخته و اطلاعات ذخیره شده را به مهاجم ارسال می‌کند. این نوع از بدافزارها از طریق درایوهای قابل‌حمل ‫منتشر می‌شوند و معمولاً در درایوها قابل‌حمل فایل‌های Autorun.inf را می‌سازند، همان‌طور که از نام آن‌ها ‫پیداست این فایل‌ها جهت اجرای خودکار فایل‌های مخربی‫که در درایوهای قابل‌حمل قرارگرفته‌اند، استفاده‫ می‌شوند. متأسفانه امروزه تعداد کثیری از بدافزارها ‫برای انتشار خود از فایل‌های autorun استفاده می‌کنند.

توضیحات فنی

در بعضی از نمونه ها این بدافزار دارای ماژول Keylogger بوده که کلید‌های فشرده شده توسط صفحه کلید را ذخیره می‌کند فعالیت Keylogger به این صورت است که فایلی با پسوند .info ساخته می‌شود و اطلاعات در این فایل ذخیره می‌شود. همچنین بدافزار در هر بار راه‌اندازی سیستم مجددا اجرا می‌شود این بدافزار نوع درایو‌های مختلف را بررسی می‌کند در صورتی که درایو از نوع درایو قابل‌حمل باشد پوشه‌های درون درایو قابل‌حمل را مخفی کرده و کپی از خود را در این پوشه‌ها قرار می‌دهد.بدافزار برای رسیدن به مقاصد خود پردازه‌های در حال اجرا را با لیستی از نرم‌افزار‌های امنیتی که دارد مقایسه می‌کند در صورت تطابق این لیست با پردازه‌های در حال اجرا، اجرای پردازه‌های مذکور را خاتمه می‌دهد.

علائم آلودگی به بدافزار AutoRun:

1. تغییر دادن کلید رجیستری ها و تبدیل آنها به Hidden , Supper Hidden برای سه فایل اجرایی ساخته شده توسط بدافزار.
2. مخفی کردن فولدرهای موجود در درایوهای قابل‌حمل
3. این بدافزار برای بقا فایلهای اجرایی خود را در رجیستری HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run قرار میدهد
4. به دنبال درایو قابل‌حمل می‌گردد سپس تمامی فولدرهایی که روی آن درایو هستند را مخفی می‌کند و از آنها یک .exe می‌سازد.
5. فایل های زیر را درون فلش ایجاد میکند ، کپی از اصل بدافزار و یک فایل autorun.inf
6. کپی کردن فایل آلوده بر روی همه درایو ها و ایجاد یک لینک به آن با استفاده از ایجاد فایل autorun.inf

روش مقابله و پاک‌سازی سیستم

پادویش با دارا بودن قابلیت UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال میابند ازجمله بدافزار AutoRun پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار AutoRun آلوده شده است مراحل زیر را دنبال کنید:

1. پادویش را بر رو سیستم خود نصب کنید.
2. درایو قابل‌حمل آلوده را به سیستم وصل کنید.
3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.