هذا الفايرس له تاريخ سابق بدأ في اوروبا واسبانيا وامريكا ووصل الى الشرق الأوسط مؤخرا وانتشر انتشار النار في الهشيم بشكل مخصص لكل دولة حسب توزيع الاي بي. يواراوسي او Urausy هو عائلة من التروجانات او الفايرسيس بانواع مختلفة. هي باختصار كود خبيث يتم تنزيله على جهاز المستخدم لخداع المستخدام وخطف الجهاز بإظهار شاشة على سطح المكتب مفادها ان الجهاز يحتوي على مخالفات وان الشرطة قامت بقفل الجهاز حتى يتم دفع غرامه. هذا النوع من التروجانز يسمى بـ ranswmware وغالبا ما يتم تنزيله عبر ثغرات مختلفة موجودة في جهاز المستخدم. أشهر هذه الثغرات هي الفلاش والجافا والأدوبي والاكسبلورر. مايكروسوفت كشفت عن ثغره مستخدمه في هذا النوع من الفايروسات (CVE-2012-1723)، ربما لنفي التهمة عن الإكسبلورر؟ ممكن!
يمكن ان تصاب بهذا النوع من الفيروسات عبر تصفح موقع يحمل الكود الخبيث الذي يستغل البرامج التي تحتوي على الثغرات في جهازك، فبمجرد مرورك على الصفحة يمكن ان يتم تحميله في جهازك بمجرد مرور الماوس على الصفحة (on mouse over).
عند الإصابة يتم تحميل الملف الى الذاكرة/الهارد [Skybe.dat & skybe.conf] فيقوم الملف من الذاكرة بعمل إتصال عكسي الى مركز التحكم في الفايرس C&C ليتم تنزيل ثلاث ملفات الى مجلد التيمب Temp. الملفات تحتوي على صفحة HTML يظهر فيها التحذير وعبرها يتم خداع المستخدم ليقوم بدفع الأموال عبر كاش يو او خدمات مماثلة للهكر. مثال توضيحي:
الفايرس كما يظهر بالاعلى قد يخدع المستخدمين المبتدئين وقد يشكل عبء على المطلعين لانه يقوم بغلق الجهاز على الشاشة التي بالأعلى كما يقوم بالتغيير في مفاتيح الريجستري كما هو موضح بالأسفل ويمنع الدخول الى مهام التشغيل او التاسك منجر وتعطيل برنامج مكافحة الفيروسات وتعطيل الجدار الناري كما يقوم بالتعديل في السيف مود وغير قابل للحذف من هناك ايضا.لذلك عند الإصابة بهذا الفايرس يمكن ازالته عبر اجبار النظام على الاقلاع من السيدي وتنظيف الهارددسك من البرامج الخبيثة. او يمكن فصل الهارددسك في جهاز اخر كهارددسك ثاني ويتم الدخول على الهارددسك وتنظيفه من البرامج الخبيثه.
User\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions
User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
عند تحليل هذا الفايرس قبل ثلاث اشهر فشلت اكثر برامج مكافة الفيروسات في التعرف على هذا النوع الجديد من الفيروسات (الصورة بالأسفل) ، بعد مراسلة الشركات المختلفه, تم وضع توقيع واعتماده للتحديث عبر برامج مكافحة الفيروسات لجميع المستخدين الشركات والافراد. يمكن الإطلاع على هاش الملف الرئيس وتحديد الشركات من هنا:
13 شركة فقط من 46 نجحت في كشف الفايرس عند ظهوره
مصادر الإصابة مختلفه قد تكون عبر موقع ويب او ايميل سبام به رابط يقود الى موقع ويب، او حتى ملف مرفق عبر الايميل. المثير في هذا الفايرس انه يستخدم ثلاث ثغرات هي (الجافا، الاكسبلورر و ادوبي PDF) وهنا الذكاء في الفايرس فلو كان الجافا حاصل على اخر التحديثات الأمنية سيقوم باستغلال ادوبي ولو كان هو ايضا سليم سيقوم بإستغلال المتصفح المحبب للكثير من الناس الاكسبلورر!
كيف تقوم بحماية نفسك:
1-الأهم: قم بتحديث جميع البرامج في جهازك على الدوام. يوجد برامج لفحص كل البرامج على جهازك وابلاغك بالغير محدث منها (Secunia) تستطيع الآن عمل فحص اونلاين بدون الحاجه الى التحميل من هنا http://secunia.com/vulnerability_scanning/online/
2-حدث برنامج مكافحة الفيروسات بشكل مستمر.
3-اذا واجهت نفس المشكلة قم بتنظيف الجهاز ولا تدفع!
بالتوفيق :)
تحديث:
حالات اصيبت بالفيروس في السعودية:
الاصابة التالية قد تكون بنوع مختلف لاختلاف التصميم للشاشة:
تحديث2:
شرطة ابوظبي تصدر تحذير عن الفايرس.
http://www.albayan.ae/across-the-uae/accidents/2013-04-13-1.1861505
شرطة ابوظبي تصدر تحذير عن الفايرس.
http://www.albayan.ae/across-the-uae/accidents/2013-04-13-1.1861505
Ref
ليست هناك تعليقات:
إرسال تعليق