شرح کلی
نوع: کرم (Worm)
درجه تخریب: بالا
میزان شیوع: متوسط
اسامی بدافزار
• Padvish) Worm.Win32.pykspa.a)
• Padvish) Worm.Win32.KillAV)
• Padvish) Worm.Win32.AutoRun)
• Microsoft) Trojan:Win32/Killav!atmn)
• Kaspersky) Trojan.Win32.KillAV.fdm)
• Symantec) W32.Pykspa!gen1)
• Eset) Win32/AutoRun.Agent.TV)
کرم (worm) چیست؟
کرمهای کامپیوتری همچون pykspa نوعی از بدافزار محسوب میشوند که توان تکثیر کردن خود را به صورت خودکار دارند. کرمها برای بقا روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه صورت میگیرد.
بدافزار pykspa چیست؟
این بدافزار فایلهای متعددی از خانوادهی خود را روی سیستم ایجاد کرده و برای بقای خود چندین کلید رجیستری ایجاد میکند. این بدافزار بعد از شناسایی درایوهای قابل حمل، یک فایل از نوع خانوادهی خود به ازای تمامی پوشههای موجود در این درایوها، با نام همان پوشهها و با پسوندهای تصادفی مانند exe ،scr ،pif ،lnk ،bat و … قرار میدهد. تمامی این فایلها هش یکسان دارند و همچنین قابلیت غیرفعال کردن سرویسهای امنیتی مانند UAC در سیستم قربانی را دارند (UAC یک ویژگی امنیتی ویندوز است).
توضیحات فنی
علائم آلودگی به بدافزار
- وجود فایلهای exe بدافزاری با نام تصادفی در مسیرهای زیر:
%Temp%
%Root%:\Windows
%Root%:\Windows\SysWOW64
- وجود فایلهای اجرایی با نام مشابه فولدرهای موجود در درایوهای قابل حمل
- غیر فعال شدن Regedit با ساخت مقدار DisableRegistryTools و با تنظیم مقدار یک در مسیر رجیستری زیر:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- غیر فعال کردن سرویس امنیتی UAC با تنظیم مقدار صفر در enableLUA
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- غیر فعال شدن Microsoft Security Center با تنظیم مقادیر رجیستری زیر:
UpdatesDisableNotify=1
AntiVirusDisableNotify=1
FirewallDisableNotify=1
FirewallOverride=1
AntiVirusOverride=1
در مسیر:
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\Security Center
- وجود فایلهایی با پسوند rar. در تمامی فولدرهای سیستم قربانی با نام همان فولدر ( فایل rar شامل نمونه فایل بدافزاری به همراه چندین فایل سالم کاربر است).
- اگر محتوای جستجو در مرورگرها شامل رشتههای زیر باشد، دسترسی آن را مسدود و مرورگر را میبندد:
ahnlab
arcabit
avast
avg.
avira
avp.
bit9.
castlecops
centralcommand
cert.
clamav
tcpview
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
gdata
grisoft hacksoft
hauri
ikarus
jotti
k7computing
Kaspersky
Malware
mcafee
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
sans.
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
vet.
Virus
Wilderssecurity
- بدافزار پنجرههای ویندوزی که متن تیتر آن شامل رشتههای زیر باشد را نیز مسدود کرده و اجازهی استفاده و دسترسی به آنها را نمیدهد:
Regedit
Spyware
Rstrui
Procmon
Regmon
Eset
Procexp
IceSword
Sysclean
dr. web
dr.web
esetsmart
soft security e
internet security
Restauration du sy
trend micro
Sistemos atk
Antivir
Sysinternals
Registry
NetTools
Zonealarm
Firewall
avg
computer management
virus
worm
system configuration
Hiajck
Hijack
security center
system restore
antivirus
antianti
Process Ex
- وجود فایلهای data با اسامی تصادفی ثابت و پسوندهای تصادفی مانند llc یا yec یا txt , …. در تمامی مسیرهای ویندوزی مانند:
yyecafwaxawycawwwwwcev.yec
- از طریق اتصال به سایتهای زیر، IP سیستم جاری را به دست میآورد:
www[.]showmyipaddress[.]com
whatismyipaddress[.]com
whatismyip[.]ca
whatismyip.everdot[.]org
شرح عملکرد
این بدافزار از طریق پیامهای ارسال شده در اسکایپ، توییتر و همچنین از طریق شبکه نیز انتشار پیدا میکند.
پیامهای ارسال شده از طریق اسکایپ و توییتر شامل موارد زیر هستند:
I would like to speak with you
.watching you long time
I would like to speak with you
I know what you did idiot name
i lost my job.. i am idiot.. i want to die
little boy :]]]] I know about your little problem
….
بدافزار در کلید رجیستری run در مسیرهای زیر برای خود بقا ایجاد میکند:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
مقادیر زیر تحت تابع disableSecurity در رجیستری قرار داده میشوند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,enableLUA , 0
این قابلیت، ویژگی UAC را فعال میکند که با تنظیم مقدار 0 توسط این بدافزار، غیرفعال میشوند.
با تنظیم رجیستری زیر به Admin اجازه میدهد عملیاتی را بدون رضایت یا اعتبارسنجی انجام دهد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,ConsentPromptBehaviorAdmin, 0
اجرای روشهای Anti-sanbox و Anti-vm
بدافزار سعی دارد که با اعمال روشهایی تشخیص دهد که محیط فعلی، محیط تحلیل نباشد. در صورتی که با اجرای هر کدام از روشها متوجه شود محیط فعلی محیط تحلیل است، بلافاصله ویندوز را خاموش میکند.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، جلوی آلوده شدن سیستم از طریق درایو قابل حمل را میگیرد. از این رو جهت پیشگیری از آلودگی به انواع بدافزارهایی مانند این بدافزار که از طریق درایو قابل حمل انتقال مییابند، پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.