آبجی
1st April 2010, 02:55 PM
ويروسی با درجه خطر کم که در دسته ويروسهای "چندشکلی" (Polymorphic) قرار می گيرد. نفوذگر می تواند از اين ويروس به عنوان ابزاری برای نفوذ به شبکه استفاده کند.
انتشار
مشخصه مشترک تمام ويروسها، قابلیت "خودتکثيری" آنها است. برنامه هايی که دائماً در حال ايجاد نسخه هايی ديگر از خود هستند و سعی می کنند با اين روش، سيستمهای پيرامون خود را نيز آلوده کنند. ویروس Virut.n نوعی آلوده کننده فايل محسوب می شود. بدين ترتيب که دستورالعملهای اين ويروس به انتهای فايل اجرايی سالم چسبيده و در سرآيند (Header) فايل نيز، نشانی آغاز دستورالعملهای اجرايی تغيير کرده و آدرس اولين دستورالعمل ويروس جایگزین می شود. در انتهای دستورات ويروس، دستوری نیز برای انتقال به نشانی اصلی فایل گذاشته می شود. در اين صورت، وقتی دستور اجرای يک فايل آلوده داده می شود، ابتدا ويروس اجرا میگردد و سپس برنامه اصلی. بنابراين کاربر متوجه اجرای ويروس نمی گردد.
خرابکاری
به محض اجرا شدن ویروس، کد آلوده به پروسه Winlogon.exe تزریق شده و فایل مخرب در مسیر زیر ایجاد می شود:
WINDOWS\TEMP\VRT7.tmp
در ادامه فایل svchost آلوده جایگزین فایل svchost سالم که یکی از اصلی ترین فایلهای سیستم عامل است می شود و پس از کپی شدن فایلهای مخرب زیر در مسیر WINDOWS\System32، فایل VRT7.tmp که پیش از این توسط ویروس ایجاد شده بود حذف می گردد:
8.tmp
9.tmp
فایل 8.tmp حاوی اطلاعات جمع آوری شده از کامپیوتر قربانی می باشد در حالی که فایل 9.tmp بعد از اجرا شدن، عبارت زیر را به فایل hosts که در مسیر Windows\System32\drivers\etc قرار دارد اضافه می کند:
127.0.0.1 ZieF.pl
بدین ترتیب نشانی 127.0.0.1 که در حالت عادی نشانی خود دستگاه (localhost) می باشد، از این پس معادل سرویس دهنده مخرب ZieF.pl خواهد شد.
همچنین ویروس Virut.n با تزریق کد آلوده به فایل ntdll.dll کنترل توابع زیر را در اختیار می گیرد تا از این طریق، کد آلوده را به فایلهای اجرایی تزریق کند:
NtCreateFile
NtCreateProcess
NtCreateProces***
NtOpenFile
NtQueryInformationProcess
ضمن اینکه این ویروس توانایی آلوده کردن فایلهای HTML را نیز دارد و از همین راه می تواند کامپیوتر کاربرانی را که صفحات HTML آلوده را مشاهده می کنند، ویروسی کند.
در ادامه اين ويروس، کليدهای زير را در محضرخانه تعریف می کند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\-
SharedAccess\Parameters\FirewallPolicy\StandardPro file\AuthorizedApplications\List
- HKEY_USER\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\UpdateHost
همچنین این ویروس با برقراری ارتباط با سرویس دهنده های زیر، دستورات جدید را از ویروس نویس (ها) دریافت می کند:
irc.zief.pl
proxim.ircgalaxy.pl
علاوه بر موارد فوق، ویروس Virut.n فایلهای مخرب بیشتری را از سرویس دهنده های زیر دریافت و در ادامه بر روی کامپیوتر قربانی اجرا می کند:
horobl.cn
goasi.cn
setdoc.cn
209.205.196.18
66.232.126.195
lorentil.cn
از دیگر خرابکاری های این ویروس، جمع آوری آدرسهای پست الکترونیکی از روی کامپیوتر آلوده و ارسال آنها به سرویس دهنده زیر برای سوءاستفاده های بعدی می باشد:
69.46.16.191
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5528 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5528 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
انتشار
مشخصه مشترک تمام ويروسها، قابلیت "خودتکثيری" آنها است. برنامه هايی که دائماً در حال ايجاد نسخه هايی ديگر از خود هستند و سعی می کنند با اين روش، سيستمهای پيرامون خود را نيز آلوده کنند. ویروس Virut.n نوعی آلوده کننده فايل محسوب می شود. بدين ترتيب که دستورالعملهای اين ويروس به انتهای فايل اجرايی سالم چسبيده و در سرآيند (Header) فايل نيز، نشانی آغاز دستورالعملهای اجرايی تغيير کرده و آدرس اولين دستورالعمل ويروس جایگزین می شود. در انتهای دستورات ويروس، دستوری نیز برای انتقال به نشانی اصلی فایل گذاشته می شود. در اين صورت، وقتی دستور اجرای يک فايل آلوده داده می شود، ابتدا ويروس اجرا میگردد و سپس برنامه اصلی. بنابراين کاربر متوجه اجرای ويروس نمی گردد.
خرابکاری
به محض اجرا شدن ویروس، کد آلوده به پروسه Winlogon.exe تزریق شده و فایل مخرب در مسیر زیر ایجاد می شود:
WINDOWS\TEMP\VRT7.tmp
در ادامه فایل svchost آلوده جایگزین فایل svchost سالم که یکی از اصلی ترین فایلهای سیستم عامل است می شود و پس از کپی شدن فایلهای مخرب زیر در مسیر WINDOWS\System32، فایل VRT7.tmp که پیش از این توسط ویروس ایجاد شده بود حذف می گردد:
8.tmp
9.tmp
فایل 8.tmp حاوی اطلاعات جمع آوری شده از کامپیوتر قربانی می باشد در حالی که فایل 9.tmp بعد از اجرا شدن، عبارت زیر را به فایل hosts که در مسیر Windows\System32\drivers\etc قرار دارد اضافه می کند:
127.0.0.1 ZieF.pl
بدین ترتیب نشانی 127.0.0.1 که در حالت عادی نشانی خود دستگاه (localhost) می باشد، از این پس معادل سرویس دهنده مخرب ZieF.pl خواهد شد.
همچنین ویروس Virut.n با تزریق کد آلوده به فایل ntdll.dll کنترل توابع زیر را در اختیار می گیرد تا از این طریق، کد آلوده را به فایلهای اجرایی تزریق کند:
NtCreateFile
NtCreateProcess
NtCreateProces***
NtOpenFile
NtQueryInformationProcess
ضمن اینکه این ویروس توانایی آلوده کردن فایلهای HTML را نیز دارد و از همین راه می تواند کامپیوتر کاربرانی را که صفحات HTML آلوده را مشاهده می کنند، ویروسی کند.
در ادامه اين ويروس، کليدهای زير را در محضرخانه تعریف می کند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\-
SharedAccess\Parameters\FirewallPolicy\StandardPro file\AuthorizedApplications\List
- HKEY_USER\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\UpdateHost
همچنین این ویروس با برقراری ارتباط با سرویس دهنده های زیر، دستورات جدید را از ویروس نویس (ها) دریافت می کند:
irc.zief.pl
proxim.ircgalaxy.pl
علاوه بر موارد فوق، ویروس Virut.n فایلهای مخرب بیشتری را از سرویس دهنده های زیر دریافت و در ادامه بر روی کامپیوتر قربانی اجرا می کند:
horobl.cn
goasi.cn
setdoc.cn
209.205.196.18
66.232.126.195
lorentil.cn
از دیگر خرابکاری های این ویروس، جمع آوری آدرسهای پست الکترونیکی از روی کامپیوتر آلوده و ارسال آنها به سرویس دهنده زیر برای سوءاستفاده های بعدی می باشد:
69.46.16.191
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5528 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5528 استفاده می کنند از گزند اين ويروس در امان خواهند بود.