Worm.Win32.Pykspa.a

شرح کلی

نوع: کرم (Worm)
درجه تخریب: بالا
میزان شیوع: متوسط

اسامی بدافزار

• Padvish) Worm.Win32.pykspa.a)
• Padvish) Worm.Win32.KillAV)
• Padvish) Worm.Win32.AutoRun)
• Microsoft) Trojan:Win32/Killav!atmn)
• Kaspersky) Trojan.Win32.KillAV.fdm)
• Symantec) W32.Pykspa!gen1)
• Eset) Win32/AutoRun.Agent.TV)

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون pykspa نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به ‌صورت خودکار دارند. کرم‌‌ها برای بقا روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه صورت می‌گیرد.

بدافزار pykspa چیست؟

این بدافزار فایل‌های متعددی از خانواده‌ی خود را روی سیستم ایجاد کرده و برای بقای خود چندین کلید رجیستری‌ ایجاد می‌کند. این بدافزار بعد از شناسایی درایوهای قابل حمل، یک فایل از نوع خانواده‌ی خود به ازای تمامی پوشه‌های موجود در این درایوها، با نام همان پوشه‌ها و با پسوندهای تصادفی مانند exe ،scr ،pif ،lnk ،bat و … قرار می‌دهد. تمامی این فایل‌ها هش یکسان دارند و همچنین قابلیت غیرفعال کردن سرویس‌های امنیتی مانند UAC در سیستم قربانی را دارند (UAC یک ویژگی امنیتی ویندوز است).

توضیحات فنی

علائم آلودگی به بدافزار

  • وجود فایل‌های exe بدافزاری با نام تصادفی در مسیرهای زیر:

%Temp%

%Root%:\Windows

%Root%:\Windows\SysWOW64

  • وجود فایل‌های اجرایی با نام مشابه فولدرهای موجود در درایوهای قابل حمل
  • غیر فعال شدن Regedit با ساخت مقدار DisableRegistryTools و با تنظیم مقدار یک در مسیر رجیستری زیر:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  • غیر فعال کردن سرویس امنیتی UAC با تنظیم مقدار صفر در enableLUA

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  • غیر فعال شدن Microsoft Security Center با تنظیم مقادیر رجیستری‌ زیر:

UpdatesDisableNotify=1

AntiVirusDisableNotify=1

FirewallDisableNotify=1

FirewallOverride=1

AntiVirusOverride=1

 

در مسیر:

HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\Security Center

  • وجود فایل‌هایی با پسوند rar. در تمامی فولدرهای سیستم قربانی با نام همان فولدر ( فایل rar شامل نمونه فایل بدافزاری به همراه چندین فایل سالم کاربر است).
  • اگر محتوای جستجو در مرورگرها شامل رشته‌های زیر باشد، دسترسی آن را مسدود و مرورگر را می‌بندد:

ahnlab
arcabit
avast
avg.
avira
avp.
bit9.
castlecops
centralcommand
cert.
clamav
tcpview
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
gdata
grisoft hacksoft
hauri
ikarus
jotti
k7computing
Kaspersky
Malware
mcafee
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
sans.
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
vet.
Virus
Wilderssecurity

  • بدافزار پنجره‌های ویندوزی که متن تیتر آن شامل رشته‌های زیر باشد را نیز مسدود کرده و اجازه‌ی استفاده و دسترسی به آنها را نمی‌دهد:

Regedit
Spyware
Rstrui
Procmon
Regmon
Eset
Procexp
IceSword
Sysclean
dr. web
dr.web
esetsmart
soft security e
internet security
Restauration du sy
trend micro
Sistemos atk
Antivir
Sysinternals
Registry
NetTools
Zonealarm
Firewall
avg
computer management
virus
worm
system configuration
Hiajck
Hijack
security center
system restore
antivirus
antianti
Process Ex

  • وجود فایل‌های data با اسامی تصادفی ثابت و پسوندهای تصادفی  مانند llc یا yec یا txt , …. در تمامی مسیرهای ویندوزی مانند:

yyecafwaxawycawwwwwcev.yec

  • از طریق اتصال به سایت‌های زیر، IP سیستم جاری را به دست می‌آورد:

www[.]showmyipaddress[.]com
whatismyipaddress[.]com
whatismyip[.]ca
whatismyip.everdot[.]org

شرح عملکرد

این بدافزار از طریق پیام‌های ارسال شده در اسکایپ، توییتر و همچنین از طریق شبکه نیز انتشار پیدا می‌کند.

پیام‌های ارسال شده از طریق اسکایپ و توییتر شامل موارد زیر هستند:‌

I would like to speak with you

.watching you long time

I would like to speak with you

I know what you did idiot name

i lost my job.. i am idiot.. i want to die

little boy :]]]] I know about your little problem

….

بدافزار در کلید رجیستری run در مسیرهای زیر برای خود بقا ایجاد می‌کند:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce

مقادیر زیر تحت تابع disableSecurity در رجیستری قرار داده می‌شوند:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,enableLUA , 0

این قابلیت، ویژگی UAC را فعال می‌کند که با تنظیم مقدار 0 توسط این بدافزار، غیرفعال می‌شوند.

با تنظیم رجیستری زیر به Admin اجازه می‌دهد عملیاتی را بدون رضایت یا اعتبارسنجی انجام دهد:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,ConsentPromptBehaviorAdmin, 0

اجرای روش‌های Anti-sanbox و Anti-vm

بدافزار سعی دارد که با اعمال روش‌هایی تشخیص دهد که محیط فعلی، محیط تحلیل نباشد. در صورتی که با اجرای هر کدام از روش‌ها متوجه شود محیط فعلی محیط تحلیل است، بلافاصله ویندوز را خاموش می‌کند.

روش مقابله و پاک­سازی سیستم

آنتی ویروس پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، جلوی آلوده شدن سیستم از طریق درایو قابل حمل را می‌گیرد. از این رو جهت پیشگیری از آلودگی به انواع بدافزارهایی مانند این بدافزار که از طریق درایو قابل حمل انتقال می‌یابند، پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.