ويروس FakeAlert-FCL

چيست؟

ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و در خانواده “پيام های جعلي” (Fake Alert) قرار می گيرد. این ویروس در فروردین ماه سال جاری (1391) مشاهده شده و در حال حاضر طبق نقشه جهانی شدت آلودگی به آن در خاورمیانه کمتر از نقاط دیگر دنیا است.  

نامگذاری ها

اين ويروس با نام های زير توسط ضدويروس های مختلف شناسايی می شود:

 McAfee                          Win32:Rootkit-gen

 avast                             Win32:Rootkit-gen

Kaspersky                       Trojan.Win32.Buzus.ldgl

eSafe (Alladin)                Trojan/Worm

norman                          W32/Injector.HHX

Sophos                          Mal/EncPk-ACI

انتشار

اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار ويروس FakeAlert-FCL نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانال های IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

خرابکاری

با آلودگی سیستم به اسب تروای FakeAlert-FCL، این ویروس تلاش می کند خود را در بخشی از حافظه سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه های محافظت شده دیگری مانند Winlogon.exe است. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کرده و از سوی دیگر خود را به طور بازگشتی فراخوانی و اجرا کند، یعنی در صورت توقف به هر دلیل مجددا کد آلوده فراخوانی می شود.

از دیگر آسیب های این ویروس تغییر تنظیمات پیش فرض شبکه سیستم و اضافه کردن یا تغییر مولفه های پشته شبکه (Network Stack) است تا ازطریق آن بتواند وجود خود را در دستگاه پایدارتر کند.

همچنین ویروس FakeAlert-FCL با تغییر مدخل های زیر در محضر خانه سیستم تنظیمات Name Server را تغییر می دهد. Name Server یا NS آدرس سرویس دهنده ای است که در اینترنت جهت میزبانی سایت ها تعریف شده است. به عبارت دیگر یک سرویس دهنده اینترنتی با استفاده از NS اختصاصی خود قابل شناسایی است و دامنه ها با تنظیم NS به میزبان مورد نظر متصل می شوند.

–  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\TCPIP\PARAMETERS\INTERFACES\{DDCCD4FB-5C22-48CA-BA7F-3703D9881F9E}\NAMESERVER = 8.8.8.8,[local subnet].1

–  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\TCPIP\PARAMETERS\INTERFACES\{FFC55249-3A0B-4937-991C-30A09A70632D}\NAMESERVER = 8.8.8.8,[local subnet].1

برخی از نشانی هایی که این ویروس تلاش می کند به آنها متصل شود عبارتند از:

–  hxxp://report.kuo3179317s3ei9q.com/*****

217.23.15.***:80

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدويروس مک آفی با فایل های اطلاعاتی شماره 6669 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *