محمد نصیری
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

ویروس کامپانیون چیست؟ معرفی Companion Virus به زبان ساده

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

واژه Companion به فارسی به معنی همراه و همدم است و به درستی ماهیت این ویروس را تعریف می کند . این ویروس خودش را به فایل اصلی برنامه اجرایی می چسباند و یک فایل اجرایی با پسوند متفاوت در کنار آن ایجاد می کند . به محض اینکه کسی درخواست اجرای فایل مورد نظر را بدهد و پسوند فایل را تعریف نکرده باشد ، ویروس اصلی اجرا می شود .

برای ساده تر شدن موضوع فرض کنید که ما فایل برنامه ای به نام Tosinso.exe داریم و ویروسی از نوع Companion آن را آلوده می کند و در کنار آن فایلی به نام Tosinso.com که یک فایل اجرایی است ایجاد می کند. به محض اینکه کاربر درخواست اجرای فایل Tosinso را بدهد به جای اجرا شدن فایل Exe فایل اجرایی پسوند com اجرا و سیستم را آلوده می کند.

Companion Virus

این نوع ویروس بصورت کلی در دایرکتوری Temp سیستم شما ذخیره می شود و به محض فراخوانی فایل اصلی اجرا خواهد شد. یکی از نکات مهم در شناسایی ویروس های Companion این است که لینک اجرا یا نقاط اجرایی خود را به شکل کلیدهای رجیستری در سیستم ثبت می کنند که این تغییرات در رجیستری می تواند باعث شناسایی آنها شود. فاکتور اساسی در تکثیر این ویروس در سیستم قربانی ، تغییر دادن Runtime Linker در سیستم عامل است  

به زبان ساده زمانیکه یک برنامه برای اجرا فراخواهی می شود ، باید فایل ها و منابع لازم برای خودش را از سیستم عامل دریافت کند و به همین دلیل از Runtime Linker برای این فراخوانی منابع استفاده می کند ، حال با آلوده شدن و جایگزین شدن Runtime Linker به محض اجرا شدن ویروس ، کلیه برنامه هایی که اجرا می شوند به دلیل ارتباط گیری با Runtime Linker همگی به یکباره آلوده به ویروس می شوند. این ویروس می تواند تا مدت ها در حافظه سیستم شما مخفی شوند و به محض فعال شدن Runtime اجرا شود.


محمد نصیری
محمد نصیری

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

31 فروردین 1399 این مطلب را ارسال کرده

نظرات