ويروس BackDoor-FHI
چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و با باز کردن یک در پشتی (Back Door) و اضافه کردن فابل های مخرب، برای حمله کننده امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. همچنین حافظه های جانبی و پوشه های به اشتراک گذاشته شده را آلوده می سازد. اولين نمونه آن در شهریور ماه سال جاری (1391) مشاهده شده و نسخه ی جدید این اسب تروا در آذر ماه منتشر شده است. با توجه به نقشه ی جهانی آلودگی به این ویروس در خاورمیانه پایین بوده و بیشترین آلودگی در انگلیس و برزیل می باشد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس BackDoor-FHI نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
اسب تروای BackDoor-FHI به محض اجرا شدن بر روی سیستم خود را در مسیر زیر با نامی تصادفی قرار می دهد:
%UserProfile%\Application Data\[random]\[random].exe
همچنین نسخه هایی از ویروس در مسیرهای گوناگون برروی دستگاه با نام زیر کپی می شوند:
thumbs.db[random character]
همچنین فایل های مخرب زیر در سیستم تولید می شوند که حاوی داده های مورد استفاده بدافزار می باشند:
$ReChCLE.BIN [malware data file]
readme.tat [malware data file]
reYdme.tat [malware data file]
thLmbs.db
desktopfini [malware data file]
vagefile.sys [malware data file]
همانگونه که مشاهده می شود بسیاری از نامهای بالا شباهتهایی با نام فایلهای آشنا در سیستم عامل Windows دارند. مثلا فایل Desktop.ini که شکل نمایش شاخه را در پنجره Explorer.exe نشان میدهد یا فایل Thumbs.db که حاوی پیش نمایش (Preview) از تصاویر و فیلمهای موجود در هر شاخه می باشد.
یکی از آسیب های مهم این ویروس ساختن میانبرهایی (یا shortcut بصورت فایل هایی با پسوند LNK) همنام با فایل ها و یا پوشه های موجود بر روی سیستم می باشد که با پسوند های زیر ساخته می شوند؛ پس از ساخته شدن میانبر در یک مسیر ممکن است از هر فایل یا پوشه 2 عدد موجود می باشد که همنام هستند و یکی فایل و پوشه ی اصلی و دیگری میانبر ساخته شده توسط ویروس می باشد که فایل یا پوشه ی اصلی به صورت مخفی (Hidden) می باشد.
– xls
– doc
– mp3
– ppt
– dll
– db
به عبارت دیگر در هر صورت میانبر ساخته شده به فایل های مخرب ویروس اشاره می کند و همین دوگانگی یعنی وجود همزمان دو فایل با نامهای یکسان می تواند کاربر را به آلوده بودن دستگاه متوجه سازد.
با اضافه شدن مدخل زیر در محضرخانه ی سیستم آلوده، فایل مخرب ویروس [random].exe با هر بار راه اندازی مجدد سیستم به صورت خودکار اجرا خواهد شد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“{8DF9EE17-84FF-E9C9-901F-18FC59A5DB1E}” = %UserProfile%\Application Data\[Random]\ [random].exe /r
اسب تروای BackDoor-FHI کد مخرب خود را در بسیاری از پروسه های سیستمی تزریق می نماید تا با اجرای پروسه ها کد مخرب نیز اجرا شود.
در پشتی که توسط ویروس باز می شود تلاش می کند به نشانی های زیر وصل شود (این نشانی ها ممکن است براساس منطقه ی جغرافیایی که ویروس در آن اجرا می شود تغییر کنند):
– www.guard.su
– www.protection.su
– www.e-statics.cc
– somesytems.cc
– www-protection.su
– estore-main.su
– strong-services.su
– wprotections.su
– wguards.su
در صورت موفقیت ارتباط ویروس با نشانی های بالا ممکن است اطلاعات رمزنگاری شده ی سیستمی برای سایت ها ارسال شود. این اطلاعات به صورت زیر می باشد:
POST /ping.html HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)
Host: e-statistics.cc
Content-Length: 9948
Cache-Control: no-cache
Content-Type: application/x-www-form-urlencoded
z=P8lvsmpmwVyY7lLJAnK60TUizGDXSdB9PCBKdUVwmflUQl6nsv5IIm7uuT7o7h … <BIG BLOCK OF base64 DATA>
از دیگر آسیب های این ویروس دریافت دیگر ویروس ها و بدافزارها و اجرای آنها بر روی سیستم آلوده می باشد. همچنین بعضی از نسخه های این ویروس عمکرد Rootkit داشته و با استفاده از این قابلیت می تواند فایل ها و پروسه های خود را از دسترس کاربر و برنامه ها مخفی نگاه دارد.
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف، در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6903 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
