مهم‌ترین ویروس‌ و کدهای مخرب رایانه‌در هفته‌گذشته

فهرست و چگونگی عملکرد ویروس‌ها و کدهای مخرب رایانه‌یی مهم در هفته گذشته از 14 تا 20 اسفندماه از سوی شرکت نرم‌افزاری پاندا اعلام شد

مهم‌ترین ویروس‌های رایانه‌یی درهفته گذشته شامل تروژان ShotOne، تروژان Yabarasu، خانواده کرم‌های رایانه‌یی Rinbot و ویروس Expiro.A بودند.

تروژان ShotOne، دارای عملکردهای تخریبی متنوعی، در رایانه‌های آسیب‌پذیر است، این کد با ایجاد تغییراتی در رجیستری ویندوز، موجب عدم بروزرسانی آن شده و دسترسی به گزینه "File" در برنامه‌های Internet Explorer و Windows Explorer را غیر ممکن می‌کند و حذف گزینه‌ی "Properties" در منوی مربوط به آیکون‌های My documents و My computer نیز از نشانه آلودگی سیستم به این کد مخرب است.

علاوه بر این موارد، غیر فعال شدن منوی کلیک راست بر روی نوار taskbar و دکمه "Start"، عدم نمایش آیکون‌های مربوط به Notification Area و نیز دسترسی نداشتن به گزینه‌های "Run" و "Search" در منوی Start، از نشانه‌های فعال بودن این تروژان در سیستم، هستند.

بر اساس این گزارش این تروژان، با هر بار، راه‌اندازی سیستم، در آن فعال شده و با نمایش پی در پی صفحات خاص، استفاده از آن را برای کاربر، مختل می‌کند؛ هم چنین این تروژان به نحوی طراحی شده تا سیستم را در هر سه ساعت یک‌بار، خاموش و مجدداً روشن کند.

بنا بر اعلام بدافزار مهم دیگر،‌ با عنوان Yabarasu، تروژانی است که با نفوذ در سیستم و با هر بار راه اندازی آن فعال شده و پیغامی‌ را به زبان‌های انگلیسی و ترکی برای کاربر نمایش می‌دهد.

این کد، کپی‌هایی از خود را در سیستم‌های آلوده قرار می‌دهد و یکی از نشانه‌های مهم فعالیت آن، عدم نمایش tooltip (راهنمای کوچکی که با نگاه داشتن ماوس بر روی فایل‌ها و فولدرها نمایش داده می‌شود) و نیز حذف پسوند فایل‌های مختلف است.

بنا بر اعلام، Yabarasu با عدم نمایش فولدرهای موجود در درایو C:، فولدرهای کاذبی با همان نام‌ها را برای کاربر نمایش داده و خود در آن‌ها پنهان می‌شود و کاربر نیز با اجرای فایل‌های موجود در این فولدرهای کاذب، درواقع تروژان Yabarasu را اجرا می‌کند.

هر دو تروژان فوق، از طریق نامه‌های الکترونیک، داونلود فایل از اینترنت و نیز استفاده از حافظه‌های خارجی آلوده و غیره منتشر می‌شوند.

بر اساس این گزارش گونه‌های مختلف یکی از مهم‌ترین کدهای مخرب رایانه‌یی با عنوان Rinbot، در هفته گذشته توسط لابراتوارهای شرکت پاندا کشف و ردیابی شد و بیشتر گونه‌های موجود در خانواده کرم‌های رایانه‌یی Rinbot، از طریق ایجاد کپی‌هایی از خود در درایوهای مپ شده و یا در منابع اشتراکی شبکه‌ها، منتشر می‌شود.

این کدها می‌توانند از طریق ابزار دارای پورت USB (پخش کننده‌های mp3، حافظه‌های فلش و...) سیستم‌ها و شبکه‌ها را مورد حمله قرار دهند.

برخی از گونه‌های این کرم رایانه‌یی، از طریق حفره‌های امنیتی خاص، به سیستم‌ها و شبکه‌ها نفوذ کرده و موجب آلودگی آن‌ها می‌شوند. برای مثال، Rinbot.B با استفاده از حفره‌های LSASS و RPC DCOM موجود در سیستم عامل مایکروسافت، قادر به نفوذ در رایانه‌ها است.

این ویروس برای نفوذ در سیستم‌ها از یک نقص مهم امنیتی در SQL Server برای اعتبارگیری بعنوان یک کاربر مجاز استفاده می‌کند، از طریق TFTP نسخه‌ای از خود را در آن کپی می‌کند و بطور خودکار اجرا می‌شود.

بر اساس این گزارش کلیه‌ی کرم‌های Rinbot، به نحوی طراحی شده‌اند که با باز کردن یک پورت در رایانه‌ها و اتصال به یک سرور IRC، شرایط مناسبی را برای نفوذ هکرها، در سیستم ایجاد کنند و علاوه بر ایجاد تغییراتی در تنظیمات امنیتی و مجوزهای موجود در برنامه Internet Explorer و نیز کند کردن سرعت سیستم، قادرند تروژان Spammer.ZV را از اینترنت، در سیستم مورد حمله خود دانلود کنند. بنا بر اعلام کد مخرب Expiro.A، یک ویروس رایانه‌یی است که کلیه فایل‌های اجرایی (با پسوند.exe) موجود در فولدر Program Files را آلوده می‌کند؛ با اجرای یکی از این فایل‌های آلوده توسط کاربر، این ویروس نیز به همراه برنامه مورد نظر کاربر در سیستم اجرا شده، عملکردهای تخریبی خود را آغاز می‌کند. سرقت اطلاعات محرمانه و شخصی در هنگام ورود کاربر به برخی از وب سایت‌ها و نیز ایجاد اختلال در عملکرد برنامه‌های امنیتی نصب شده در سیستم از جمله عملکردهای تخریبی این کد هستند.