ويروس NGRBot
چيست؟
ويروسی با میزان انتشار کم (Low) که یک کرم اینترنتی بوده و در دسته Botnet ها قرار می گیرد. این بدافزارها که در پایان نام اصلی خود عبارت Bot را دارند، معمولا شامل تعدادی دستگاه آلوده در سراسر دنیا و یک یا چند مرکز فرماندهی می باشند که دستورات لازم را به آنها دیکته می کند. این دستورات می تواند شامل سرقت اطلاعات، ارسال هرزنامه، حملات DoS و یا موارد دیگر باشد. این ویروس برای دزدیدن اطلاعات از روی دستگاه های قربانی طراحی شده است و از روش های مهندسی اجتماعی برای گول زدن کاربران استفاده می نماید.
انتشار
ویروس NGRBot، از طریق برنامه های چت (Chat messenger) و سایت های شبکه های اجتماعی (facebook ,tweeter, …) انتشار می یابد. همچنین برای انتقال و ارسال و دریافت اطلاعات و فرامین از کانال های IRC استفاده می نماید.
دیسک های USB قابل حمل (Flash Disk) منبع دیگری برای انتشار این ویروس می باشند.
خرابکاری
ویروس NGRBot اطلاعات FTP و رمز های ذخیره شده در مرورگر سیستم های قربانی را می دزدد. این کرم اینترنتی با استفاده از کانال های IRC با مرکز فرماندهی خود در ارتباط بوده و به انتقال و ارسال و دریافت اطلاعات می پردازد. این ویروس برای رسیدن به اهداف خود در دزدی اطلاعات، از نوعی سازوکار مشابه Rootkit بهره می برد.
از خرابکاری های این ویروس پایش (Monitor) شبکه و کنترل تمامی ارتباطات داخل شبکه می باشد.
این ویروس قابلیت آلوده نمودن صفحات HTML را دارا بوده و از این طریق مانع باز شدن برخی سایت ها و دریافت بروزرسانی های ضدویروس ها می شود.
در شکل زیر رشته ای از این کرم در حافظه نشان داده شده است:
به محض اتصال به کانال های IRC ویروس NGRBot به صورت یک در پشتی (Back door) عمل نموده و می تواند دستوراتی از کنترل کننده ی راه دور دریافت کند.
در شکل زیر مراحل آلوده شدن سیستم و کارکرد این کرم اینترنتی را مشاهده می کنید:
همانطور که در شکل مشخص می باشد در ابتدا کاربر بر روی لینک مخرب در پنجره ی برنامه ی چت کلیک می نماید و با این کار کرم NGRBot را دانلود می نماید. سپس ویروس با اتصال سیستم قربانی به کانال IRC با مرکز فرماندهی خود ارتباط برقرار نموده و به ارسال اطلاعات و دریافت دستورات مخرب می پردازد.
این کرم اینترنتی می تواند خود را بروز کند و برای اینکار تنظیمات DNS را بر روی سیستم قربانی تغییر می دهد:
ویروس NGRBot از بخش ها ی (ماژول) مختلفی تشکیل شده که هر کدام عملیات خاصی را انجام می دهند.
در شکل زیر هر کدام از این بخش ها و کاری که انجام می دهند آورده شده است.
این کرم اینترنتی خود را در پروسه ی explorer.exe تزریق نموده و از طریق پورت 7171 با نشانی IP 27.54.193.102 ارتباط برقرار می نماید.
مانند بیشتر بدافزارها این ویروس نیز با قراردادن خود در بخشهایی از محضرخانه (Registry) باعث می شود با راه اندازی مجدد سیستم، ویروس درون حافظه قرار گیرد.
از آسیب های دیگر این ویروس دریافت ویروس ها و برنامه های مخرب و اجرایشان بر روی سیستم قربانی می باشد. یکی از این برنامه های مخرب ضدویروس جعلی Live Platinum Security می باشد که با نام 8.exe در مسیر %appdata% قرار می گیرد. همچنین اسب تروای KillAV با نام 7.exe در همان مسیر قرار داده می شود. در شکل زیر این 2 فایل و پنجره ی ضدویروس جعلی را می بینید.
اسب تروای KillAV حدودا 100 پروسه ی مربوط به ضدویروس و برنامه های امنیتی مختلف را بر روی سیستم شناسایی نموده و غیرفعال می نماید. لیست این پروسه ها در زیر آمده است.
scfmanager Fsaw livesrv mscif vir.exe
savser Fspex bdmcon mpft webproxy
savadmins fsm32 bdagent mpfser pavfnsvr
alsvc Tsanti xcommsvr mpfag avengine
almon Kavpf PXConsole mcvss avciman
npfmsg2 Kav PXAgent mcvs apvxdwin
zlh dpasnt kpf4ss mcupd avp
zanda Msfw kpf4gui mcupdm cavtray
cclaw msmps sunthreate mctsk cavrid
npfsvice mpeng sunserv mcshi
njeeves Msco sunprotect mcdet
nipsvc winssno counter mcage
nip symlcsvc clamwin zlcli
nvcsched spbbcsvc clamtray vsmon
nvcoas sndsrvc avgnt webroot
spidernt nscsrvce avguard spysw
spiderui navapsvc avesvc firewalln
drweb ccsetmgr avcenter vrmo
pxcons ccproxy ashwebsv vrfw
pxagent ccetvm ashdisp hsock
guardxkickoff Ccapp ashmaisv wmiprv
vba32ldr alusched ashserv mxtask
nod32kui Oascl isafe caissdt
همچنین ضدویروس جعلی Live Platinum Security که توسط ویروس روی سیستم قربانی نصب و اجرا می شود جلوی اجرای پروسه های زیر را می گیرد:
regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
verclsid.exe
ipconfig.exe
از دیگر خرابکاری های ویروس NGRBot جلوگیری از دریافت فایل هایی با پسوند های زیر توسط کاربر می باشد:
exe
com
pif
scr
پيشگيری
استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگیری در مقابل کرمها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوی درباره فايل ها و لینک های مشكوك و يا با عناوين جذاب است كه در سايت های شبکه های اجتماعی و برنامه های چت، فراوان ديده می شوند، اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
استفاده کنندگان از ضدويروس مک آفی با فایلهای اطلاعاتی 6844 (و بالاتر) از گزند اين ويروس در امان خواهند بود.