شرح کلی
نوع: کرم (worm)
درجه تخریب: متوسط
میزان شیوع: زیاد
اسامی بدافزار
- Padvish (Worm.Win32.Renamer)
- Microsoft (Virus:Win32/Grenam.B)
- ESET-NOD32 (Win32/AutoRun.Delf.LV)
کرم (worm) چیست؟
کرمهای کامپیوتری همچون Renamer نوعی از بدافزار محسوب میشوند که به صورت خودکار، توان تکثیر کردن خود را دارند. کرمها برای بقا روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنها است که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای به اشتراک گذاشته شده در شبکه صورت میگیرد.
بدافزار Renamer چیست؟
بدافزارRenamer، فایل خود را با نامهای جعلی، مشابه اسامی فایلهای سیستمی و سالم ایجاد میکند و پس از ایجاد برخی تغییرات، این قابلیت را خواهد داشت که همراه با فایلهای سالم اجرا شود.
توضیحات فنی
علائم آلودگی
- قرار دادن یک حرف اضافه (به صورت تصادفی) به ابتدای نام فایلهای سالم در نسخههای جدید حرف (v) و در نسخههای قدیم حرف (g) و مخفی کردن آنها از دید کاربر
- وجود فایل paint.exe، در مسیر Users%\AppData\Roaming\Paint.exe% (در نسخه قدیم Ground.exe)
- وجود فایلsystemroot%\paint%
- وجود فایل Paint.lnk برای ایجاد بقا:
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Paint.lnk
Target: % AppData%\Paint.exe
هدف بدافزار
از اهداف این بدافزار میتوان به اشغال بیهوده فضای هارد و استفاده بیش از حد از CPU اشاره کرد.
شرح عملکرد
✔️ بدافزار به ابتدای نام فایلهای سالم و سیستمی در مسیرهای زیر، یک حرف به صورت تصادفی (در این نسخه از فایل حرف v) را میافزاید. سپس به مخفی کردن آنها میپردازد و فایلهای خود را با نامهای جعلی، مشابه اسامی آن فایلها ایجاد میکند. با این روش بدافزار، خود را به داخل پوشهها کپی میکند.
%systemroot%:\*.exe
%systemroot%:\ProgramFiles\…\*.exe
:%Users%\Desktop\*.exe
✔️ کاربر سیستم با تصور اجرای فایل سالم ، آن را اجرا میکند اما بدون آن که متوجه شود ابتدا بدافزار و سپس فایل سالم اجرا میشود. در تصویر زیرنمونهای از عملکرد بدافزار قابل مشاهده است:
فایل بدافزار: C:\Program Files\Google\Chrome\Application\chrome.exe
فایل سالم : C:\Program Files\Google\Chrome\Application\vchrome.exe
✔️ بدافزار فایل autorun را در همه درایوهای سیستم (%systemroot%: autorun.inf) با محتویات زیر قرار میدهد:
✔️ در ادامه بدافزار برای بقا، یک Shortcut میسازد که به فایل بدافزار اصلی اشاره میکند:
%Users%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Paint.lnk
Target: %Users%\AppData\Roaming\Paint.exe
روش مقابله و پاکسازی سیستم
✅ آنتیویروس پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، از آلودگی سیستم از طریق درایو قابل حمل جلوگیری میکند. از این رو، توصیه میشود جهت پیشگیری از آلودگی به انواع بدافزارهایی مانند Renamer که از طریق درایو قابل حمل منتقل میشوند، اقدام به نصب آنتی ویروس پادویش کنید.