کمیته رکن چهارم – در هفتههای اخیر نسخه جدیدی از بدافزار VJw0rm کاربران و موسسات ایرانی را هدف حملات خود قرار داده است.
روش انتشار این بدافزار بهرهگیری از حافظههای جداشدنی موسوم به USB Flash است. بدین نحوه که علاوه بر کپی دو نمونه از خود بر روی حافظه متصل به دستگاه آلودهشده، تمامی پوشهها و فایلهای موجود بر روی آن را مخفی نموده و به ازای هر یک از آنها یک میانبر (Shortcut) ایجاد میکند.
اجرای میانبر موجب فراخوانی فایل مخرب موجود در حافظه USB Flash و سپس اجرای فایل / پوشه اصلی میشود. با توجه به عدم نمایش فایلها و پوشههای مخفی و سیستمی در حالت پیشفرض و نظر به اجرا شدن فایل یا پوشه مورد نظر کاربر احتمال مشکوک شدن کاربر به آلوده بودن حافظه تا حد بسیار زیادی کاهش مییابد.
در ادامه بدافزار اقدام به کپی نسخهای از خود در مسیرهای زیر میکند:
- %Temp%
- %UserProfile%\Downloads
VJw0rm با ایجاد کلید زیر در محضرخانه (Registry) موجب اجرای خودکار خود در هر بار راهاندازی شدن سیستم عامل میگردد.
دو نمونه از فایل مخرب VJw0rm نیز در پوشه %Startup% کپی میشود که مکانیزمی دیگر برای اجرای خودکار بدافزار است.
همچنین از طریق پروسه معتبر wscript.exe کلیدی تحت عنوان VJw0rm با مقدار False در مسیر HKEY_CURRENT_USER ایجاد میشود.
از دیگر دستدرازیهای VJw0rm میتوان به ایجاد یک فرمان زمانبندی شده با عنوان Skype اشاره کرد که وظیفه آن اجرای فایل مخرب هر ۳۰ دقیقه یکبار است.
همچنین در این نسخه، بدافزار اقدام به برقراری ارتباط با نشانی lalik.linkpc[.]net بر روی درگاه ۷۶ میکند. بهنظر میرسد نشانی مذکور متعلق به سایتی هک شده است که مهاجمان از آن بهعنوان سرور فرماندهی این نسخه از VJw0rm استفاده میکنند.
استفاده از ضدویروس به روز و قدرتمند و بکارگیری محصولات موسوم به Device Control می تواند سازمان را از گزند این تهدیدات ایمن نگاه دارد.
نمونه بررسی شده در این خبر توسط ضدویروس Bitdefender با نام Trojan.Worm.GenericKDS.31167571 قابل شناسایی و پاکسازی است. به کاربران محصولات سازمانی McAfee نیز توصیه میشود از این فایل بهروزرسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین نسخه این بدافزار است، استفاده کنند. راهنمای قرار دادن EXTRA DAT در ابزار مدیریتی McAfee ePolicy Orchestrator را در اینجا مشاهده کنید.
منبع : شبکه گستر
