Worm.Win32.VBNA

شرح کلی

نوع: کرم (worm)
درجه تخریب: متوسط
میزان شیوع: زیاد

اسامی بدافزار

• Padvish) Worm.Win32.VBNA.bilz)
• Microsoft) PUA:Win32/Creprote)
• ESET-NOD32) Win32/AutoRun.VB.XW)

کرم (wormچیست؟

کرم‌های کامپیوتری همچون pykspa نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به ‌صورت خودکار دارند. کرم‌‌ها برای بقا روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه صورت می‌گیرد.

بدافزار VBNA چیست؟

این بدافزار بسیاری از ابزارهای مانیتورینگ سیستم عامل ویندوز را از کار می‌اندازد و سپس با استفاده از مرورگرهای مختلف، کاربر را مجبور به دانلود بدافزارهای دیگری می‌نماید (غالباً adware). در ادامه، این بدافزار پس از ایجاد تغییراتی، این قابلیت را خواهد داشت که همراه با کلیه فایل‌های exe اجرا شود.

توضیحات فنی

علائم آلودگی

• از کار انداختن ابزارهای ماینتورینگ ویندوز
• از کار انداختن اعلان آپدیت ویندوز
• از کار انداختن اعلان سرویس UAC
• از کار انداختن اعلانات آنتی‌ویروس‌های مختلف و Firewall سیستم
• از کارانداختن کامل Firewall سیستم
• قرار دادن نام فایل بدافزار و مسیر کامل آن به لیست قابل اعتماد Firewall ویندوز
• غیرفعال کردن Cmd و TaskManager ویندوز
• غیر فعال کردن گزینه Run در Start Menu سیستم
• غیرفعال کردن گزینه System Restore
• غیر فعال کردن صدای اخطار سیستم به هنگام بروز رویدادهای ویندوز

[HKCU\Control Panel\Sound] = "Beep: no"

• کپی فایل اصلی برنامه در مسیرهای زیر قرار می‌گیرد:

- %UserProfile%\2626A7C626\winlogon.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\Windows Update.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Media Center.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Windows DVD Maker.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup \Windows Anytime Upgrade.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Fax y Escáner de Windows.exe
- C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Anytime Upgrade.exe

به صورت کلی، بدافزار تمامی فایل‌های خود را به حالت مخفی در مسیرهای اشاره شده از سیستم قربانی قرار می‌دهد.

• فایل Host سیستم را تغییر می‌دهد تا سیستم به جای وصل شدن به سایت‌های امنیتی و سایت‌های مرتبط با آنتی‌ویروس‌ها به سایت‌های غیرمرتبط وصل شود.

نمونه تصویری از فایل Host تغییرداده شده:

هدف بدافزار

1. پایین آوردن امنیت سیستم عامل
2. دانلود تبلیغ افزارهای مختلف

در مرحله انتشار، این بدافزار خود را به داخل درایوهای قابل حمل کپی می‌کند. پس از آن، اقدام به مخفی کردن تمامی فایل‌های درایو مورد نظر می‌کند و یک Shortcut که به فایل بدافزار اصلی اشاره می‌کند به جای آنها می‌سازد که با همان آیکون و مشخصات فایل اصلی مخفی شده است.

همچنین، بدافزار شیوه نمایش آیکن Shortcut در سیستم را تغییر می‌دهد.

[HKEY_CLASSES_ROOT/]

Value : lnkfile = "IsShortcut"

[HKEY_CLASSES_ROOT/]

Value : piffile = "IsShortcut"

تصویر زیر نمایی از فلش آلوده شده به بدافزار را نشان می‌دهد. همانطور که در این تصویر مشاهده می‌شود، آیکن shortcut فایل‌های موجود در این تصویر با آیکن فایل‌های معمولی تفاوتی ندارد.

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، جلوی آلوده شدن سیستم از طریق درایو قابل حمل را می‌گیرد. از این رو، جهت پیشگیری از آلودگی به انواع بدافزارهایی مانند این بدافزار که از طریق درایو قابل حمل انتقال می‌یابند، پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.