آبجی
1st April 2010, 03:14 PM
ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد.
Dat براي شناسايي
انتشار
ويروس Autorun.worm.dw در خانواده ويروسهای Autorun قرار می گيرد. اينگونه ويروسها، پس از اجرا شدن فايلی بنام autorun.inf در ريشه درايـوهای ديسک سخت (درايوهای C و D و …) و ابـزارهـای ذخيــره سـازی USB (در صورت وجود) ايـجـاد می کنند. درون اين فايل، نام فايل اجرايی ويروس مانند autoplay.exe آورده شده است. پس از آن، کامپيوتر آلوده می تواند هر حافظه فلش را نيز که به آن کـامپيـوتـر وصـل می شـود، آلـوده سـازد. همچنين ايـن ويـروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و autoplay.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.
در شبکه هايی که رمز عبور Administrator برای همه دستگاه ها يکی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی که برای اشتراک فايل بين کاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.)
ويروس Autorun.worm.dw در آخرين گونه خود سبب شد تا وزارت دفاع ايالات متحده علیرغم دارا بودن تجهیزات امنیتی پيشرفته، استفاده از ديسکهای خارجی (External) و حافظه های فلش را درشبکه های نظامی تا اطلاع ثانوی ممنوع کند. اين در حالی است که در بسياری از موقعيتهای نظامی بدليل در دستـرس نبـودن وسـايل ارتباطاتی رايج نظير ايميل، استفاده از اين گونه حافظه ها به نوعی تنها وسيله انتقال اطلاعات ذخيره شده محسوب می شود.
خرابكاري
به محض اجرا شدن فايل آلوده، فايلهای مخرب زير ایجاد می شوند:
- %SYSTEM%\[Random Named DLL File
- %SYSTEM%\mswmpdat.tl
- %SYSTEM%\winview.ocx
در ادامه کليدهای زير در محضرخانه دستکاری می شوند:
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\StrtdCfg
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}\ InprocServer32 default = %SYSTEM%\[Random Named DLL File]
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}\ InprocServer32 ThreadingModel: "Apartment"
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794} default = "Java.Runtime.52"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ ShellServiceObjectDelayLoad UpdateCheck = {8F147B28-EF39-44A0-B6EC-3CC6F2F08794}
از ديگر خرابکاری های Autorun.worm.dw، برقراری ارتباط با سرويس دهنده های مشخص شده در برنامه ويروس، بمنظور دريافت فايلهای مخرب بيشتر و ارسال اطلاعات جمع آوری شده از روی کامپيوتر قربانی (نظير کلمات عبور) می باشد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي
- Prevent creation of new executable files in the Windows folder
- Prevent creation of new executable files in the Program Files folder]
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
Dat براي شناسايي
انتشار
ويروس Autorun.worm.dw در خانواده ويروسهای Autorun قرار می گيرد. اينگونه ويروسها، پس از اجرا شدن فايلی بنام autorun.inf در ريشه درايـوهای ديسک سخت (درايوهای C و D و …) و ابـزارهـای ذخيــره سـازی USB (در صورت وجود) ايـجـاد می کنند. درون اين فايل، نام فايل اجرايی ويروس مانند autoplay.exe آورده شده است. پس از آن، کامپيوتر آلوده می تواند هر حافظه فلش را نيز که به آن کـامپيـوتـر وصـل می شـود، آلـوده سـازد. همچنين ايـن ويـروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و autoplay.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.
در شبکه هايی که رمز عبور Administrator برای همه دستگاه ها يکی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی که برای اشتراک فايل بين کاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.)
ويروس Autorun.worm.dw در آخرين گونه خود سبب شد تا وزارت دفاع ايالات متحده علیرغم دارا بودن تجهیزات امنیتی پيشرفته، استفاده از ديسکهای خارجی (External) و حافظه های فلش را درشبکه های نظامی تا اطلاع ثانوی ممنوع کند. اين در حالی است که در بسياری از موقعيتهای نظامی بدليل در دستـرس نبـودن وسـايل ارتباطاتی رايج نظير ايميل، استفاده از اين گونه حافظه ها به نوعی تنها وسيله انتقال اطلاعات ذخيره شده محسوب می شود.
خرابكاري
به محض اجرا شدن فايل آلوده، فايلهای مخرب زير ایجاد می شوند:
- %SYSTEM%\[Random Named DLL File
- %SYSTEM%\mswmpdat.tl
- %SYSTEM%\winview.ocx
در ادامه کليدهای زير در محضرخانه دستکاری می شوند:
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\StrtdCfg
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}\ InprocServer32 default = %SYSTEM%\[Random Named DLL File]
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}\ InprocServer32 ThreadingModel: "Apartment"
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794} default = "Java.Runtime.52"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ ShellServiceObjectDelayLoad UpdateCheck = {8F147B28-EF39-44A0-B6EC-3CC6F2F08794}
از ديگر خرابکاری های Autorun.worm.dw، برقراری ارتباط با سرويس دهنده های مشخص شده در برنامه ويروس، بمنظور دريافت فايلهای مخرب بيشتر و ارسال اطلاعات جمع آوری شده از روی کامپيوتر قربانی (نظير کلمات عبور) می باشد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي
- Prevent creation of new executable files in the Windows folder
- Prevent creation of new executable files in the Program Files folder]
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.