ويروس W32/Mydoom.cf چيست ؟

[آبجی]

ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه ويروس W32/Mydoom.cf، در ماه جاری (تیر 88) مشاهده شده است.

انتشار

در صورت اجرای فايل آلوده بر روی دستگاه، فايلی بنام autorun.inf توسط ويروس در ريشه درايوهای ديسک سخت (درايوهای C و D و ...) و ابزارهای ذخيره سازی USB (در صورت وجود) ايجاد می شود. درون اين فايل، نام فايل اجرايی ويروس مانند wmcfg.exe (در آخرين گونه مشاهده شده) آورده شده است. کامپيوتر آلوده می تواند هر ديسک USB را نيز که به آن کامپيوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و wmcfg.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.

خرابکاری

بمحض اجرا شدن، فايلهای مخرب در مسيرهای زير ذخيره می شوند:

%WinDir%\system32\[random character].nls
%WinDir%\system32\wmcfg.exe
%WinDir%\system32\wmiconf.dll

فایل اول با نام W32/Mydoom!txt، فایل دوم با نام W32/Mydoom.cf و فایل سوم با نام W32/Mydoom.cf.dll توسط ضدویروس مک آفی می شود.
پس از آن، این ویروس، فایلهای زیر را بمنظور برقرار کردن ارتباطات شبکه ای و در ادامه انتشار خود بر روی دستگاه های دیگر کپی می کند:

%WinDir%\system32\drivers\npf.sys
%WinDir%\system32\Packet.dll
%WinDir%\system32\WanPacket.dll
%WinDir%\system32\npptools.dll
%WinDir%\system32\packet.dll
%WinDir%\system32\WanPacket.dll
%WinDir%\system32\wpcap.dl

همچنين ويروس W32/Mydoom.cf، کليدهای زير را در محضرخانه ايجاد می کند.

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.ex_
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.ex_\OpenWithList
HKEY_CLASSES_ROOT\CLSID\{425882B0-B0BF-11CE-B59F-00AA006CB37D}
HKEY_CLASSES_ROOT\CLSID\{425882B0-B0BF-11CE-B59F-00AA006CB37D}\InProcServer32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NM\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NM\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NPF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NPF\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NPF\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\n m\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\N PF\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W miConfig
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W miConfig\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W miConfig\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\nm\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NPF\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig\Security

این ویروس برای اجرا شدن اتوماتیک فایلها و کلیدهای مخربی که در بالا به آنها اشاره شد کلیدهای زیر را نیز در محضرخانه کپی می کند:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "Description"
Data: Configures and manages performance library information from WMI HiPerf providers.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "DisplayName"
Data: WMI Performance Configuration
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "ErrorControl"
Data: [Value]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "ImagePath"
Data: %SystemRoot%\system32\svchost.exe -k wmiconf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "ObjectName"
Data: LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "Start"
Data: [Value]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "Type"
Data: [Value]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig\Parameters "ServiceDll"
Data: %WinDir%\System32\wmiconf.dll

l از دیگر خرابکاری های این ویروس برقراری ارتباط با سرویس دهنده های زیر برای دریافت فایلهای مخرب بیشتر می باشد:
213.33.[Removed]
216.199.[Removed]
213.023.[Removed]

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
USB
و برای کامپيوترهای پرخطر، فعال کردن قاعده های
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5671 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.