Worm.Win32.Vobfus

شرح کلی

نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Vobfus
Trojan.Win32.Vobfus
Worm.Vobfus
درجه تخریب: زیاد
میزان شیوع: زیاد

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون Vobfus نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Vobfus چیست؟

بدافزار Vobfus در دسته کرم‌ها قرارگرفته و این بدافزار در دو بخش اهداف خود را دنبال می‌کند، در بخش اول که توسط خود بدافزار اجرا می‌شود، بدافزار بقای خود را چک می‌کند و همچنین درایو قابل‌حمل را به‌محض اتصال به سیستم، با کپی کردن خود در آن آلوده می‌کند. بخش دوم، توسط کپی که بدافزار از خود ایجاد کرده اجرا می‌شود. در این بخش، بدافزار اقدام به دانلود و اجرای بدافزارهای دیگر بدون اطلاع کاربر می‌کند. همچنین این بدافزار از تکنیک anti-VM (شناسایی محیط مجازی) استفاده می‌کند که در صورت استفاده از VM(محیط مجازی)، روند مخرب آن اجرا نمی‌شود. هدف اصلی این بدافزار دانلود دیگر بدافزارها است که درصورتی‌که سیستم قربانی از VM استفاده نکند، به یک سرور وصل شده و بدافزار موردنظر را دانلود می‌کند.

توضیحات فنی

علائم آلودگی به بدافزار Vobfus:

  1. ایجاد کلید رجیستری %USERPROFILE%\"RandomName".exe در مسیر HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"RandomName".exe
  2. ایجاد کلید رجیستری UACDisableNotify با مقدار 0 در مسیر HKLM\SOFTWARE\Microsoft\Security Center
  3. در برخی گونه‌های جدیدتر
    تغییر مقدار کلید رجیستری به مقدار 00 در مسیر HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
    تغییر مقدار کلید رجیستری به مقدار 01 در مسیر HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. پاک کردن تمامی فایل‌های exe درون درایو قابل‌حمل و ایجاد فایل میانبر با نام آن‌ها که همگی به فایل اجرایی بدافزار اشاره می‌کنند.
  5. مخفی کردن یک کپی از خود در درایو قابل‌حمل و دایرکتوری‌ها و درایوهای share شده
  6. آلوده سازی درایوهای قابل‌حمل با کپی کردن خود با چندین نام مختلف و ایجاد یک فایل با حجم و محتوای صفر با نام x.mpeg
    • %USERPROFILE%\Application Data\{random}.exe
    • Removable Drive:\Secret.exe
    • Removable Drive:\Sexy.exe
    • Removable Drive:\Passwords.exe
    • Removable Drive:\Password.exe
    • Removable Drive:\Webcam.exe
    • Removable Drive:\I Love You.exe
    • Removable Drive:\Naked.exe
    • Removable Drive:\Porn.exe
    • Removable Drive:\x.mpeg

روش مقابله و پاک‌سازی سیستم

پادویش با دارا بودن قابلیت  UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال میابند ازجمله بدافزار Vobfus پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Vobfus آلوده شده است مراحل زیر را دنبال کنید:

  1. پادویش را بر رو سیستم خود نصب کنید.
  2. درایو قابل‌حمل آلوده را به سیستم وصل کنید.
  3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.