ويروس Bot-FAS

چیست؟

ويروسی با درجه خطر کم (Low) که عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند. همچنین امکاناتی برای مدیریت دستگاه آلوده از طریق مرکز فرماندهی در این ویروس وجود دارد که آنرا در دسته Botnetها قرار می دهد. افراد یا گروه های خلافکار با آماده کردن تعداد زیادی از این دستگاه های آلوده از آنها برای حملات برنامه ریزی شده و یا ارسال انبوه هرزنامه ها استفاده می کنند. آخرین نگارش این ویروس در اردیبهشت ماه سال جاری (1391) منتشر شده است. در حال حاضر میزان آلودگی به این ویروس در خاورمیانه پایین تر از سایر نقاط جهان است.

اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

– McAfee                 Bot-FAS!6DB96C5D6118!​6DB96C5D6118
– avast                    Win32:SdBot-HAK
– AVG (GriSoft)        Generic22.ACDN (Trojan horse)
– avira                    TR/ATRAPS.Gen
– BitDefender           Trojan.Generic.KD.208055
– Microsoft VirTool   Win32/Obfuscator.PQ
– Symantec             Packed.Generic.326
– Eset                     Win32/Kryptik.NFQ trojan (variant)
– panda                  W32/P2PWorm.QD

 

انتشار

این ویروس، مانند سایر کرم ها از روشهای متعددی برای انتشار استفاده می کند.

– از طریق دیسک های USB قابل حمل (Flash Disk) و cd های قابل نوشتن (Writable)
– در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.

 

خرابکاری

با آلوده شدن سیستم به ویروس Bot-FAS فایل های مخرب زیر در حافظه ی سیستم قرار می گیرند:

– %APPDATA%\Bcvmvn.exe
– %WINDIR%\SYSTEM32\catroot2\tmp.edb

همچنین این ویروس پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آنرا در پروسه ی Explorer.exe سیستم و هر پروسه ای که پس آز آن در حافظه بارگذاری می شود، تزریق نموده و از این طریق باعث اجرای کد موردنظر شود. به بیان دیگر ویروس Bot-FAS تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری مانند Winlogon می باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.

ویروس Bot-FAS با تغییر مدخل زیر در محضرخانه ی سیستم باعث می شود با هر بار راه اندازی مجدد سیستم پروسه ی مخرب Bcvmvn.exe اجرا شود:

– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN\BCVMVN = %APPDATA%\Bcvmvn.exe

ویروس Bot-FAS تلاش می کند با نشانی های زیر ارتباط برقرار نماید:

– hxxp://api.wipmania.com/
– 121.61.118.***:3800

 

پیشگیری

به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند رایانه را در مقابل اين ويروس محافظت کند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 6697 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *