آبجی
1st April 2010, 02:26 PM
ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس، در فروردين هشتاد و هفت مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Autorun.worm.gen با حجمهای مختلف ايجاد شده است.
نامگذاري
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Worm.Win32.AutoRun.dve (Kaspersky & eScan)
Worm/Autorun.dve (AntiVir)
انتشار
در صورت اجرای فايل آلوده بر روی دستگاه، فايلی بنام autorun.inf توسط ويروس در ريشه درايوهای ديسک سخت (درايوهای C و D و …) و ابزارهای ذخيره سازی USB (در صورت وجود) ايجاد می شود. درون اين فايل، نام فايل اجرايی ويروس مانند autoplay.exe (در آخرين گونه مشاهده شده در ايران) آورده شده است. کامپيوتر آلوده می تواند هر ديسک USB را نيز که به آن کامپيوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C یک دستگاه در شبکه، برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و autoplay.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C، کامپیوتر خود را آلوده کند.
در شبکه هايی که رمز عبور Administrator برای همه دستگاه ها يکی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی که برای اشتراک فايل بين کاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.)
خرابكاري
به محض اجرا شدن ویروس، فايل آلوده lsass.exe در پوشه Windows کپی می شود.
تذکر: فايل lsass.exe (Local Security Authentication Server) يکی از فايلهای اصلی سيستم عامل می باشد که در پوشه سيستمی Windows ذخيره می شود. اين ويروس با انتخاب اين نام برای فايل اجرايی آلوده خود و ذخيره آن در محلی ديگر (پوشه Windows) سعی در فريب کاربر دارد. در همين رابطه، گزينه Prevent WindowsProcess spoofing در بخش Access Protection ضدويروس، وظيفه جلوگیری از ويروسهايی را دارد که بخواهند با سوءاستفاده از نام پروسه های اصلی Windows به اهداف خرابکارانه خود برسند.
در ادامه فايلهای زير در ريشه درايوها کپی می شوند:
autorun.inf
autoplay.exe
همچنين ويروس Autorun.worm.gen، کليدهای زير را نيز در محضرخانه ايجاد می کند.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Internet Settings\ProxyEnabled: "FALSE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run\Microsoft Windows Update Client: "%WinDir%\lsass.exe"
HKEY_USERS\S-1-5-21-746137067-299502267-1547161642-1003\Software\
Microsoft\Windows NT\CurrentVersion\Windows\Run: "%WinDir%\lsass.exe"
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های
Prevent Windows Process spoofing
USB
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
نامگذاري
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Worm.Win32.AutoRun.dve (Kaspersky & eScan)
Worm/Autorun.dve (AntiVir)
انتشار
در صورت اجرای فايل آلوده بر روی دستگاه، فايلی بنام autorun.inf توسط ويروس در ريشه درايوهای ديسک سخت (درايوهای C و D و …) و ابزارهای ذخيره سازی USB (در صورت وجود) ايجاد می شود. درون اين فايل، نام فايل اجرايی ويروس مانند autoplay.exe (در آخرين گونه مشاهده شده در ايران) آورده شده است. کامپيوتر آلوده می تواند هر ديسک USB را نيز که به آن کامپيوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C یک دستگاه در شبکه، برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و autoplay.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C، کامپیوتر خود را آلوده کند.
در شبکه هايی که رمز عبور Administrator برای همه دستگاه ها يکی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی که برای اشتراک فايل بين کاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.)
خرابكاري
به محض اجرا شدن ویروس، فايل آلوده lsass.exe در پوشه Windows کپی می شود.
تذکر: فايل lsass.exe (Local Security Authentication Server) يکی از فايلهای اصلی سيستم عامل می باشد که در پوشه سيستمی Windows ذخيره می شود. اين ويروس با انتخاب اين نام برای فايل اجرايی آلوده خود و ذخيره آن در محلی ديگر (پوشه Windows) سعی در فريب کاربر دارد. در همين رابطه، گزينه Prevent WindowsProcess spoofing در بخش Access Protection ضدويروس، وظيفه جلوگیری از ويروسهايی را دارد که بخواهند با سوءاستفاده از نام پروسه های اصلی Windows به اهداف خرابکارانه خود برسند.
در ادامه فايلهای زير در ريشه درايوها کپی می شوند:
autorun.inf
autoplay.exe
همچنين ويروس Autorun.worm.gen، کليدهای زير را نيز در محضرخانه ايجاد می کند.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Internet Settings\ProxyEnabled: "FALSE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run\Microsoft Windows Update Client: "%WinDir%\lsass.exe"
HKEY_USERS\S-1-5-21-746137067-299502267-1547161642-1003\Software\
Microsoft\Windows NT\CurrentVersion\Windows\Run: "%WinDir%\lsass.exe"
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های
Prevent Windows Process spoofing
USB
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.