با بدافزار Win32/Alureon.H آشنا شوید

خطرناک‌ترین بدافزارها، جدیدترین بدافزارها هستند چرا که هنوز آنتی‌ویروس‌ها آن‌ها را شناسایی نکرده‌اند و رایانه‌ها در مقابل آن‌ها آسیب‌پذیر می‌باشند.

بنا به گزارش آزمایشگاه امنیتی مایکروسافت، بدافزار Win32/Alureon.H در حال‌ حاضر یکی از جدیدترین و خطرناک‌ترین بدافزار‌های شایع در جهان رایانه‌هاست.نسخه مشابهی از همین بدافزار برای سیستم‌عامل‌های مکینتاش شایع شده است و این بدافزار منحصر به ویندوز نیست اما کاربران ویندوز، قربانیان اصلی این بدافزار هستند.

این بدافزار عضوی از خانواده Win32/Alureon یا Zlob است که به‌تازگی در طی چند روز گذشته به‌روزرسانی شده است و هنوز بیشتر آنتی‌ویروس‌ها قادر به شناسایی آن نیستند. این بدافزار مانند یک تروجان‌دانلودر عمل می‌کند و می‌تواند شرایط را برای ورود بدافزار‌های دیگر و آسیب‌پذیرتر کردن سیستم‌عامل ویندوز آماده کند. این بدافزار علائم خاصی دارد که کاربر با شناسایی این علائم می‌تواند به وجود این بدافزار در رایانه پی ببرد. تغییر DNS یا Domain name System رایانه، یکی از عمومی‌ترین فعالیت‌هایی است که تمام اعضای این خانواده از بدافزار انجام می‌دهند. تغییر DNS رایانه منتهی به هدایت کاربر به سایت‌های ناخواسته می‌شود. علاوه بر این‌که تمامی این سایت‌ها‌ حاوی بدافزار‌هایی دیگری هستند که ممکن است رایانه را آلوده‌تر کنند. در صورتی‌که رایانه عضوی از یک شبکه باشد، بدافزار پس از انتقال یافتن از طریق راه‌های موجود به رایانه‌های دیگر، در شبکه نیز اختلالاتی ایجاد می‌کند. این بدافزار دائما مرورگر را باز می‌کند و صفحات تبلیغاتی نمایش می‌دهد. معمولا بنر‌های صفحات تبلیغاتی که به‌وسیله این بدافزار نمایش داده می‌شوند، به بدافزار‌های دیگر منتهی می‌شوند. این بدافزار، درایور سخت‌افزار‌های نصب شده روی رایانه را هدف قرار می‌دهد و دستکاری آن‌ها ممکن است برخی از قطعات سخت‌افزاری رایانه را از کار بیندازد. در اثر این بدافزار حتی ممکن است رایانه در محیط ویندوز دیگر قادر به شناسایی هارددیسک نباشد و بدیهی است که این اتفاق مانع از بوت شدن سیستم‌عامل خواهد شد. اختلالات گرافیکی و تغییر تنظیمات کارت‌گرافیک رایانه نیز یکی دیگر از نتایج تغییر درایور‌های سیستم است. این بدافزار با اجرای برنامه کوچکی به نام atnvrsinstall.exe یک سپر قرمزرنگ دقیقا شبیه به سیستم امنیتی مایکروسافت در System Tray ویندوز ایجاد کرده و راهنمایی‌های نادرستی به کاربر ارائه می‌کند. علاوه بر این فایروال ویندوز و به‌روز رسانی ویندوز نیز Disable می‌شود. به‌طور کلی همه اعضای این خانواده، سارق اطلاعات محسوب می‌شوند. شاید همه فعالیت‌های ظاهری و اشکالات فنی حاصل از حضور این بدافزار در رایانه بسیار ناخوشایند باشد اما بزرگ‌ترین آسیبی که ممکن است از این چنین بدافزاری ببینید این است که اطلاعات شما را به سرقت ببرد. مهم‌ترین هدف این بدافزار به سرقت بردن اطلاعات بانکی کاربر است اما ممکن است که اطلاعات پست الکترونیک و دیگر نام‌های کاربری شما نیز توسط این بدافزار سرقت شود. کلید‌های رجیستری زیر باعث می‌شود که این بدافزار با تغییر نام DNS رایانه کاربر بتواند مسیر‌های مرورگر را شناسایی و کنترل کند.

* Modify registry value:

“DhcpNameServer” Under subkey:

HKLMSystemCurrentControlSetServicesTcpipParameters

* Modify registry values:

“NameServer” “DhcpNameServer”

under certain subkeys of the

subkey:

HKLMSYSTEM

CurrentControlSetServicesTcpipParametersInterfaces

مقادیری که به این کلید‌ها اختصاص داده می‌شود دو IP مختلف است. گاهی در بعضی از رایانه‌های ایمن‌تر که بدافزار قادر به تغییر DNS نیست، همین تنظیمات در تنظیمات پروکسی مرورگر اعمال می‌شود. معمولا بزرگ‌ترین قربانی این‌چنین حملاتی کاربران مرورگر IE هستند چرا که تنظیمات این مرورگر با تنظیمات اتصالات سیستم‌عامل ویندوز گره خورده است. این بدافزار از طریق فلش‌مموری منتقل نمی‌شود و می‌توان با استفاده از Task Manager آن‌را از فهرست پردازش‌ها حذف کرد اگرچه این‌کار فایده چندانی ندارد چرا که تا زمانی که این بدافزار در فهرست سرویس‌های مقیم در حافظه وجود داشته باشد، بدافزار همچنان به کار خود ادامه خواهد داد.