کمیته رکن چهارم – شرکت McAfee از شناسایی نسخه جدیدی از ویروس Expiro که نوعی “بدافزار آلودهکننده فایل” است خبر داده است.
بدافزارهای موسوم به آلودهکننده فایل (File Infector) در دسته نخستین ویروسهای خلق شده توسط تبهکاران دنیای فناوری اطلاعات جای میگیرند.
فایلهای اجرایی با پسوندهای EXE و COM اصلیترین قربانیان این گونه ویروسها هستند. وقتی کاربر یک فایل از این دسته را اجرا میکند، محتویات آن درون حافظه RAM دستگاه قرار گرفته و اجرای آن شروع میگردد. در بخش ابتدایی این فایلها که آن را سرآیند مینامند، نشانی آغاز دستورالعملهای اجرایی فایل ذکر شده است که سیستم عامل با خواندن آن، بخش اجرایی را از آنجا خوانده و به پردازشگر اصلی کامپیوتر میفرستد تا تک تک دستورات پس از آن اجرا گردند.
زمانی که یک فایل اجرایی توسط ویروسی آلوده میگردد، دستورالعملهای ویروس معمولاً به انتهای فایل اجرایی میچسبند و در سرآیند فایل نیز نشانی آغاز دستورالعملهای اجرایی تغییر کرده و بجای آن آدرس اولین دستورالعملهای ویروس مینشیند. در انتهای ویروس هم دستوری برای پرش به نشانی قبلی گذاشته میشود. در این صورت وقتی کاربری دستور اجرای یک فایل آلوده را میدهد، ابتدا ویروس اجرا میگردد و سپس برنامه اولیه، بنابر این کاربر متوجه اجرای ویروس نمیگردد.
ویروس Expiro نیز با عملکردی مشابه فایلهای اجرایی را بر روی هر دو بستر ۳۲ و ۶۴ بیتی هدف قرار میدهد.
این ویروس که عمر آن به بیش از ده سال میرسد توانایی نصب افزونه های مخرب در مرورگر، تغییر تنظیمات مرورگر و سرقت اطلاعات اصالتسنجی دستگاه آلوده شده را در خود دارد.
تحلیل و پاکسازی فایل آلوده شده توسط نسخه جدید Expiro به دلیل رمزگذاری شدن بخشهایی از کد فایل به مراتب بسیار دشوارتر و پیچیدهتر شده است.
