Worm.Win32.Renamer

شرح کلی

نوع: کرم (worm)
درجه تخریب: متوسط
میزان شیوع: زیاد

اسامی بدافزار

  • Padvish (Worm.Win32.Renamer)
  • Microsoft (Virus:Win32/Grenam.B)
  • ESET-NOD32 (Win32/AutoRun.Delf.LV)

کرم (worm) چیست؟

کرم‌های کامپیوتری هم‌چون Renamer نوعی از بدافزار محسوب می‌شوند که به ‌صورت خودکار، توان تکثیر کردن خود را دارند. کرم‌‌ها برای بقا روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌ها است که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های به اشتراک‌ گذاشته شده در شبکه صورت می‌گیرد.

بدافزار Renamer چیست؟

بدافزارRenamer، فایل خود را با نام‌های جعلی، مشابه اسامی فایل‌های سیستمی و سالم ایجاد می‌کند و پس از ایجاد برخی تغییرات، این قابلیت را خواهد داشت که همراه با فایل‌های سالم اجرا شود.

توضیحات فنی

علائم آلودگی

  1. قرار دادن یک حرف اضافه (به صورت تصادفی) به ابتدای نام فایل‌های سالم در نسخه‌های جدید حرف (v) و در نسخه‌های قدیم حرف (g) و مخفی کردن آن‌ها از دید کاربر
  2. وجود فایل paint.exe، در مسیر Users%\AppData\Roaming\Paint.exe% (در نسخه قدیم Ground.exe)
  3. وجود فایلsystemroot%\paint%
  4. وجود فایل Paint.lnk برای ایجاد بقا:

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Paint.lnk
Target: % AppData%\Paint.exe

هدف بدافزار

از اهداف این بدافزار می‌توان به اشغال بیهوده فضای هارد و استفاده بیش از حد از CPU اشاره کرد.

شرح عملکرد

✔️ بدافزار به ابتدای نام فایل‌های سالم و سیستمی در مسیرهای زیر، یک حرف به صورت تصادفی (در این نسخه از فایل حرف v) را می‌افزاید. سپس به مخفی کردن آن‌ها می‌پردازد و فایل‌های خود را با نام‌های جعلی، مشابه اسامی آن فایل‌ها ایجاد می‌کند. با این روش بدافزار، خود را به داخل پوشه‌ها کپی می‌کند.

%systemroot%:\*.exe
%systemroot%:\ProgramFiles\…\*.exe
:%Users%\Desktop\*.exe

✔️ کاربر سیستم با تصور اجرای فایل سالم ، آن را اجرا می‌کند اما بدون آن که متوجه شود ابتدا بدافزار و سپس فایل سالم اجرا می‌شود. در تصویر زیرنمونه‌ای از عملکرد بدافزار قابل مشاهده است:

فایل بدافزار: C:\Program Files\Google\Chrome\Application\chrome.exe

فایل سالم : C:\Program Files\Google\Chrome\Application\vchrome.exe

 

عملکرد بدافزار ، فایل بدافزار

 

✔️ بدافزار فایل autorun را در همه درایوهای سیستم (%systemroot%: autorun.inf) با محتویات زیر قرار می‌دهد:

 

فایل autorun بدافزار

 

✔️ در ادامه بدافزار برای بقا، یک Shortcut می‌سازد که به فایل بدافزار اصلی اشاره می‌کند:

%Users%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Paint.lnk
Target: %Users%\AppData\Roaming\Paint.exe

Shortcut که به فایل بدافزار اصلی اشاره می‌کند

روش مقابله و پاک‌سازی سیستم

✅ آنتی‌ویروس پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، از آلودگی سیستم از طریق درایو قابل حمل جلوگیری می‌کند. از این رو، توصیه می‌شود جهت پیشگیری از آلودگی به انواع بدافزارهایی مانند Renamer که از طریق درایو قابل حمل منتقل می‌شوند، اقدام به نصب آنتی ویروس‌ پادویش کنید.