چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. ايــن ويروس که در دسته ی بدافزارهای دریافت کننده ی فایل (Dropper) قرار می گیرد، برای اولین بار در مهر ماه سال 1384مشاهده شده است و آخرین نگارش این ویروس در آبان ماه جاری (1391) منتشر شد. در حال حاضر شدت آلودگی به این ویروس در خاورمیانه پایین است و بیشترین آلودگی ها در ایالات متحده ی آمریکا مشاهده شده و در نتیجه توجه برخی از رسانه ها به آن جلب شده است.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
| Generic Dropper.p!2BCDC5091C44 | McAfee |
| PUA.Win32.Packer.Asprotect-2 | clamav |
| Trojan.DownLoader4.56255 | Dr.Web |
| Win32/Xtrat.A | Microsoft Backdoor |
| Trojan.Dropper | Symantec |
| BKDR_XTRAT.B | Trend Micro |
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا برخلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Generic Dropper.p نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
ویروس Generic Dropper.p از نوع ویروس های دریافت کننده ی فایل (Dropper) می باشد. در داخل این نوع ویروس ها کدهایی وجود دارد که پس از اجرا شدن برروی دستگاه آلوده، به نشانی های از پیش تعریف شده ای وصل شده و فایلهای آلوده را از آنجا دریافت و از حالت فشرده خارج نموده و نصب می کنند. فایل های آلوده ای که این ویروس برروی دستگاه قربانی می گذارد می تواند هر نوع بدافزار دیگر مانند سایر اسب های تروا، درپشتی ها (BackDoor)، شماره گیرها (Dialers) یا هر نوع دیگری باشد.
این ویروس فایل های زیر را در دستگاه آلوده کپی می کند:
– %TEMP%\2.ico
– %APPDATA%\Microsoft\Windows\jhfjgj.dat
– %TEMP%\.exe
– %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1482476501-[private subnet]522115-500\549b9b645cadfe6bb4bc69cf36
– %TEMP%\~DF1C22.tmp
– %TEMP%\word.exe
– %APPDATA%\Microsoft\Office\Recent\Temp.LNK
– %TEMP%\~$arrage.doc
– %APPDATA%\Microsoft\Office\Recent\barrage.doc.LNK
– %TEMP%\~DF2065.tmp
– %USERPROFILE%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
– %APPDATA%\Microsoft\Templates\~$Normal.dot
– %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1482476501 -[private subnet]522115-500\5[private subnet]f020d23ee37e1
– %TEMP%\barrage.doc
– %USERPROFILE%\Start Menu\Programs\Startup\ .lnk
همچنین فایل زیر به طور موقت در سیستم کپی شده و بعد پاک می شود.
– %TEMP%\__tmp_rar_sfx_access_check_153203
از خرابکاری این ویروس ساختن میانبرهایی (فایل هایی با پسوند LNK – Shortcut) بر روی میزکار (Desktop) و منوی شروع است که به فایل های ساخته شده توسط ویروس بر روی سیستم اشاره می کنند و کاربر با اجرای این میانبرها باعث اجرای فایل های مخرب ویروس می شود.
همچنین با آلوده شدن دستگاه به ویروس Generic Dropper.p، کوکی های (Cookies) مرورگر IE تغییر داده شده و یا به آن ها اضافه می شود. این بدافزار مانند بیشتر بدافزارهای دیگر، با قراردادن نام فایلهای خود در Registry کاری می کند تا با هربار راه اندازی دستگاه به صورت خودکار درون حافظه قرار گیرد.
همچنین ویروس تلاش می کند با نشانی های زیر ارتباط برقرار نماید:
– 206.222.164.***:1500
– hxxp://loading.myftp.org:1500/*****
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند. با توجه به وجود فایل های آلوده به این ویروس در شبکه های اشتراک فایل (P2P)، بهتر است از دریافت فایل های ناشناس و مشکوک (و معمولا جذاب) از این شبکه ها خودداری گردد.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6886 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.