نوشته‌ها

انتشار ویروس کامپیوتری Ransom

ویروس Ransomبا درجه خطر کم که عملکرد “اسب تروا” (Trojan) دارد و به طور مداوم حضور خود را در دستگاه آلوده کنترل می کند. در دی ماه سال جاری (۱۳۹۰) نمونه جدید این اسب تروا منتشر شده است. براساس نقشه جهانی میزان آلودگی به این ویروس در خاورمیانه پایین بوده و بیشترین آلودگی در روسیه مشاهده شده است.

نامگذاری های ویروس Ransom

این ویروس با نام های زیر توسط ضدویروس های مختلف شناسایی می شود:

McAfee              Ransom!10DA9AAC8AA1
AVG (GriSoft)     Generic2_c.RKZ (Trojan horse)
avira                 TR/Dropper.Gen
Kaspersky         Trojan-Ransom.Win32.DigiPog.ep
BitDefender       Dropped:Trojan.Generic.3303872
Microsoft           Trojan:Win32/Delf.GU
Symantec          Trojan Horse
Eset                  Win32/Agent.FHUEKEI trojan (probably variant)
Panda               Trj/Krap.Y

 

انتشار

اسب های تروا برنامه هایی هستند که به عنوان یک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دیر یا زود گریبانش را می گیرد.

انتشار ویروس Ransom! نیز همانند سایر اسب های تروا با دریافت آن از اینترنت و اجرا بر روی دستگاه صورت می پذیرد. هرزنامه هایی که سعی می کنند کاربر را تشویق به دریافت این اسب تروا کنند، کانال های IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار این اسب تروا هستند.

 

خرابکاری

به محض اجرا شدن ویروس Ransom بر روی یک دستگاه، فایل های مخرب زیر در دستگاه آلوده کپی می شود:

%TEMP%\~C.tmp
%TEMP%\F.tmp
%TEMP%\nss5.tmp\e4u.exe
%TEMP%\nsh4.tmp
%TEMP%\nss5.tmp\lsass.exe
%TEMP%\nss5.tmp\EuroP.exe
%TEMP%\nss5.tmp\CB-WP.exe

 

با تغییر در مدخل زیر ویروس Ransom باعث غیرفعال شدن نوار ابزار مرورگر IE می شود:

 

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\LOCKED = 1

 

همینطور این ویروس در cookieهای مرورگر IE تغییر ایجاد می کند و یا آنها را حذف می کند.

همچنین با تغییر در مدخل زیر با هر بار راه اندازی مجدد سیستم، نام فایل آلوده nss5.tmp\CB-WP.exe تغییر می کند.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\CONTROL\SESSION MANAGER\PENDINGFILERENAMEOPERATIONS = \??\%TEMP%\nss5.tmp\CB-WP.exe

 

ویروس Ransom سعی می کند با نشانی های زیر اتصال برقرار کند:

–       ۶۷٫۱۴۸٫۷۱٫**:۸۰
–       ۶۵٫۵۴٫۹۵٫**:۸۰
–       ۲۳٫۳٫۱۰۵٫***:۸۰
–       ۲۳٫۳٫۱۰۵٫**:۸۰
–       ۶۴٫۴٫۲۱٫**:۸۰
–       ۲۰۷٫۴۶٫۱۹۳٫***:۸۰
–       ۲۰۴٫۱۵۴٫۱۱۱٫**:۸۰
–       ۶۵٫۵۵٫۵٫***:۸۰
–       ۲۰۷٫۴۶٫۱۴۰٫**:۸۰
–       ۲۰۴٫۱۶۰٫۱۰۳٫***:۸۰
–       ۲۰۹٫۲۳۴٫۲۲۵٫***:۸۰
–       ۱۹۹٫۵۹٫۲۴۱٫***:۸۰
–       hxxp://www.microsoft.com/isapi/*****
–       hxxp://abtdiagnostic.com/utaigom/*****
–       ۶۵٫۵۵٫۲۰۶٫***:۸۰

ویروس Ransom

پیشگیری

به روز نگه داشتن ضدویروس، نصب آخرین اصلاحیه های سیستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کلیک بر روی لینک های ناآشنا و پرهیز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره ۶۵۷۰ و بالاتر قادر به شناسایی و پاکسازی این ویروس است.