Worm.Win32.Sirana

شرح کلی

نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Sirana
Worm.MSIL.Sirana
درجه تخریب: زیاد
میزان شیوع: متوسط

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون Sirana نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Sirana چیست؟

بدافزار Sirana در دسته کرم‌ها قرار دارد. این بدافزار با پنهان کردن خود در قالب فرم پیوست یک احضاریه از طرف قوه‌ی قضاییه از طریق ایمیل منتشر می‌شود. این بدافزار پس از اجرا و نصب خودکار، از تمامی اطلاعات واردشده توسط کاربر از طریق صفحه‌ی کلید لاگ‌برداری کرده و همچنین به سایت‌ها و صفحات پرداخت و بانک‌های ایران حساس است و از کلیک‌های کاربر در این صفحات نیز عکس‌برداری می‌کند. از این طریق (حتی درصورتی‌که کاربر از صفحه‌ی کلید ایمن سایت‌ها استفاده کند) اطلاعات کارت‌بانکی و همچنین نام کاربری و کلمات عبور وی در سایت‌های مختلف توسط این بدافزار ذخیره‌شده و درنهایت به نویسنده‌ی بدافزار ارسال می‌شود.

توضیحات فنی

علائم آلودگی به بدافزار Sirana:
این بدافزار در درایو قابل‌حمل با نام (نام یکی از دایرکتوری‌های درون درایو قابل‌حمل) [FolderName].exe ساخته‌ می‌شود و سپس دایرکتوری اصلی را مخفی می‌کند. بنابراین قربانی برای باز کردن دایرکتوری خود روی FolderName.exe دو بار کلیک می‌کند و با این کار بدافزار را اجرا می‌کند. سپس بدافزار درون سیستم در مسیر زیر به نام WindowsHostManager.exe قرار می‌گیرد.

%AppData%\Adobe

بدافزار فایل‌های زیر را نیز ایجاد می‌کند:

%User Profile%\Application Data\Adobe \HostService.exe
%User Profile%\Application Data\Adobe\Flash Player\AFCache\sysLog17-02-08.dat
%User Profile%\Application Data\Adobe\Flash Player\AFCache\err\.jepg

کلید رجیستری زیر در سیستم ساخته می‌شود.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService

دو هوک از نوع WH_KEYBOARD_LL و WH_MOUSE_LL نصب‌شده است.

روش مقابله و پاک‌سازی سیستم

اکیداً به‌تمامی کاربران توصیه می‌شود که قبل از باز کردن پیوست هر ایمیل از معتبر بودن فرستنده‌ی آن مطمئن شوند و همچنین از ضدویروس‌های به‌روز بومی استفاده کنند.
پادویش با دارا بودن قابلیت  UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال میابند ازجمله بدافزار Sirana پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Sirana آلوده شده است مراحل زیر را دنبال کنید:

1. پادویش را بر رو سیستم خود نصب کنید.
2. درایو قابل‌حمل آلوده را به سیستم وصل کنید.
3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.