معرفی بدافزار RDNAutorun.worm!db
به گزارش شبکه خبري دولت الکترونيک، بدافزاری با درجه خطر کم (Low) و از نوع “کرم” (Worm) است که به طور خودکار خود را تکثیر کرده و بدین طریق منتشر می شود. اولین گونه این بدافزار در آذر ماه سال جاری (۱۳۹۲) مشاهده شده است. در حال حاضر بر طبق نقشه ی جهانی میزان آلودگی به این ویروس در خاورمیانه اندک می باشد.
نامگذاری
اين بدافزار با نام های زير توسط ضدويروس های مختلف شناسايی می شود.
McAfee: RDN/Autorun.worm!db!
Avast: Win32:Trojan-gen
Avira: Worm/Autorun.YD
Dr.Web: Trojan.Siggen4.57952
Microsoft: Worm:Win32/Nabony.A
Symantec: W32.SillyFDC
Eset: Win32/AutoRun.Agent.YD
Norman: winpe/Troj_Generic.KPKF
Sophos: Mal/Scar-S
انتشار
این بدافزار مانند سایر کرم ها از روشهای متعددی برای انتشار استفاده می کند.
- از طریق دیسک های USB قابل حمل (Flash Disk) و CD های قابل نوشتن (Writable)
- در محیط شبکه های محلی (LAN) برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.
خرابکاری
به محض آلوده شدن سیستم، فایل های مخرب زیر در مسیرهای ذکر شده، ایجاد می شوند.
%APPDATA%\readere_lm.com
%WINDIR%\SYSTEM32\acrobat.com
%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF
%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning\CD_RW.exe
%APPDATA%\dbf.ltb
بدافزار RDNAutorun.worm!db با آلوده کردن هر دستگاه، یک فايل autorun.inf در ريشه درايوهای قابل حمل (ابزارهای ذخيره سازی USB در صورت وجود) و درایورهای نگاشت شده بر روی دستگاه (Mapped Drives) ایجاد میکند. هر زمان که یک از این درایو ها توسط کاربر مورد دسترسی قرار گیرد، فایل autorun.inf تلاش می کند تا یک فایل اجرایی آلوده را به طور خودکار بر روی دستگاه اجرا نماید.
بعضی از نسخه های فایل autorun.inf و فایل اجرایی مربوط به آن، به صورت فایل سیستمی و مخفی (Hidden) می باشند تا از این طریق توسط مرورگر ویندوز دیده نشوند و از چشم کاربر مخفی بمانند.
از آسیب های دیگر این بدافزار می توان به تغییر تنظیمات کلی و پیشرفته ی مرورگر ویندوز (Windows Explorer) اشاره نمود که بعضی از این تغییرات باعث می شود فایل های اجرایی به صورت فایل های متنی دیده شوند. به این ترتیب، بدافزار می تواند خود را از دید کاربر یا سایر نزم افزارهای دیگر پنهان کند.
از جمله این تغییرات می توان به مخفی شدن پسوند فایل ها اشاره نمود که باعث می شود فایل های اجرایی به صورت اسناد نمایش داده شوند و کاربر با اجرای آن ها باعث اجرای برنامه ی مخرب گردد.
این تغییرات با دستکاری کلیدهای زیر در Registry سیستم عامل صورت می گیرد.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\HIDDEN
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\HIDDEN\SHOWALL\CHECKEDVALUE
پيشگيری
استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگیری در مقابل بدافزارهای از نوع کرم می باشد. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
