شرح کلی
نوع: کرم (worm)
درجه تخریب: متوسط
میزان شیوع: زیاد
اسامی بدافزار
• Padvish) Worm.Win32.VBNA.bilz)
• Microsoft) PUA:Win32/Creprote)
• ESET-NOD32) Win32/AutoRun.VB.XW)
کرم (worm) چیست؟
کرمهای کامپیوتری همچون pykspa نوعی از بدافزار محسوب میشوند که توان تکثیر کردن خود را به صورت خودکار دارند. کرمها برای بقا روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه صورت میگیرد.
بدافزار VBNA چیست؟
این بدافزار بسیاری از ابزارهای مانیتورینگ سیستم عامل ویندوز را از کار میاندازد و سپس با استفاده از مرورگرهای مختلف، کاربر را مجبور به دانلود بدافزارهای دیگری مینماید (غالباً adware). در ادامه، این بدافزار پس از ایجاد تغییراتی، این قابلیت را خواهد داشت که همراه با کلیه فایلهای exe اجرا شود.
توضیحات فنی
علائم آلودگی
• از کار انداختن ابزارهای ماینتورینگ ویندوز
• از کار انداختن اعلان آپدیت ویندوز
• از کار انداختن اعلان سرویس UAC
• از کار انداختن اعلانات آنتیویروسهای مختلف و Firewall سیستم
• از کارانداختن کامل Firewall سیستم
• قرار دادن نام فایل بدافزار و مسیر کامل آن به لیست قابل اعتماد Firewall ویندوز
• غیرفعال کردن Cmd و TaskManager ویندوز
• غیر فعال کردن گزینه Run در Start Menu سیستم
• غیرفعال کردن گزینه System Restore
• غیر فعال کردن صدای اخطار سیستم به هنگام بروز رویدادهای ویندوز
[HKCU\Control Panel\Sound] = "Beep: no"
• کپی فایل اصلی برنامه در مسیرهای زیر قرار میگیرد:
- %UserProfile%\2626A7C626\winlogon.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\Windows Update.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Media Center.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Windows DVD Maker.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup \Windows Anytime Upgrade.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Fax y Escáner de Windows.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Anytime Upgrade.exe
به صورت کلی، بدافزار تمامی فایلهای خود را به حالت مخفی در مسیرهای اشاره شده از سیستم قربانی قرار میدهد.
• فایل Host سیستم را تغییر میدهد تا سیستم به جای وصل شدن به سایتهای امنیتی و سایتهای مرتبط با آنتیویروسها به سایتهای غیرمرتبط وصل شود.
نمونه تصویری از فایل Host تغییرداده شده:
هدف بدافزار
1. پایین آوردن امنیت سیستم عامل
2. دانلود تبلیغ افزارهای مختلف
در مرحله انتشار، این بدافزار خود را به داخل درایوهای قابل حمل کپی میکند. پس از آن، اقدام به مخفی کردن تمامی فایلهای درایو مورد نظر میکند و یک Shortcut که به فایل بدافزار اصلی اشاره میکند به جای آنها میسازد که با همان آیکون و مشخصات فایل اصلی مخفی شده است.
همچنین، بدافزار شیوه نمایش آیکن Shortcut در سیستم را تغییر میدهد.
[HKEY_CLASSES_ROOT/]
Value : lnkfile = "IsShortcut"
[HKEY_CLASSES_ROOT/]
Value : piffile = "IsShortcut"
تصویر زیر نمایی از فلش آلوده شده به بدافزار را نشان میدهد. همانطور که در این تصویر مشاهده میشود، آیکن shortcut فایلهای موجود در این تصویر با آیکن فایلهای معمولی تفاوتی ندارد.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، جلوی آلوده شدن سیستم از طریق درایو قابل حمل را میگیرد. از این رو، جهت پیشگیری از آلودگی به انواع بدافزارهایی مانند این بدافزار که از طریق درایو قابل حمل انتقال مییابند، پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.