Worm.Win32.Houdini

شرح کلی

نوع: کرم (worm)

اسامی بدافزار:
Worm.Win32.Houdini
Worm.VBS.Dinihou
Worm.VBS.Ntuser
Worm.Win32.NHoudini
Worm.VBS.Houdini
Worm.JS.Houdini
درجه تخریب: زیاد
میزان شیوع: زیاد

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون Houdini نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Houdini چیست؟

این بدافزار در ابتدا با فرمت vbe از طریق درایوهای قابل‌حمل وارد سیستم قربانی می‌شود. نحوه کار این بدافزار به‌این‌ترتیب است که تمام دایرکتوری‌های درایوهای قابل‌حمل را مخفی می‌کند سپس به ازای تمام آن‌ها یک shortcut می‌سازد. Shortcut های ساخته‌شده به این صورت تولید می‌شوند که بعد از اجرا ابتدا فایل بدافزار را که در درایو قابل‌حمل پنهان‌شده است را اجرا کرده و سپس دایرکتوری موردنظر را باز کنند.

توضیحات فنی

این بدافزار خود را با نام ntuser.vbe در startup سیستم و همچنین درایوهای قابل‌حمل (فلش، هارد اکسترنال و…) متصل به سیستم، کپی می‌کند. سپس با تغییر در رجیستری سیستم، این امکان را ایجاد کرده که با هر بار راه‌اندازی مجدد سیستم بدافزار به‌صورت خودکار اجرا شود.
هدف این بدافزار جاسوسی اطلاعات سیستم قربانی و ارسال آن‌ها به سرور خود است که اطلاعات زیر در مورد سیستم قربانی را جمع‌آوری می‌کند:

  1. نام کامپیوتر قربانی
  2. نام کاربری فردی که در حال حاضر وارد سیستم شده است
  3. نسخه سیستم‌عامل
  4. شماره سریال برای نرم‌افزار
  5. شماره شناسایی سخت‌افزار
  6. این بدافزار با اتصال به دامین‌های خاصی مانند آدرس(qio0oip.no-ip.ivfo از طریق پورت 1177)، اجازه اجرای دستورات از راه دور را به نفوذگر می‌دهد.

روش مقابله و پاک‌سازی سیستم

پادویش با دارا بودن قابلیت  UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال میابند ازجمله بدافزار Houdini پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Houdini آلوده شده است مراحل زیر را دنبال کنید:

  1. پادویش را بر رو سیستم خود نصب کنید.
  2. درایو قابل‌حمل آلوده را به سیستم وصل کنید.
  3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.