نماد سایت اتاق خبر شبکه گستر

ويروس RDN/Generic BackDoor!h

چيست؟

ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و با باز کردن یک در پشتی (Back Door) برای نفوذگر امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. این اسب تروا در بهمن ماه سال جاری (1391) منتشر شده است. با توجه به نقشه ی جهانی آلودگی به این ویروس در خاورمیانه پایین می‌باشد.

 

انتشار

اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار ويروس RDN/Generic BackDoor!h نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا برروی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

 

نامگذاری

اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

RDN/Generic BackDoor!h!E586CF9F9BDAMcAfee
Win32:Malware-genavast
BackDoor.Bifrose.GC (Trojan horse)AVG (GriSoft)
TR/Crypt.XPACK.Genavira
Gen:Variant.Graftor.62271BitDefender
BackDoor.IRC.Sdbot.15749Dr.Web
  VirTool:Win32/CeeInject.gen!EFMicrosoft
Win32/Injector.HPY trojan (variant)Eset
W32/Troj_Generic.GUGZSnorman

  

 

 

 

 

 

خرابکاری

در صورت اجرای این اسب تروا، فایلهای آلوده‌ی زیر در سیستم آلوده کپی می شود:

– %WINDIR%\SYSTEM32\system.acm
– %APPDATA%\svchost.exe
– %TEMP%\Perflib_Perfdata_844.dat
– %TEMP%\Perflib_Perfdata_980.dat

ویروس RDN/Generic BackDoor!h پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آن را در پروسه‌ها‌ی سیستم‌عامل و هر پروسه ای که پس آز آن در حافظه بارگذاری می شود، تزریق نموده و از این طریق باعث اجرای کد موردنظر شود. به بیان دیگر این ویروس تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری می‌باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نزم افزارهای دیگر پنهان کند.

با ساختن مدخل ها‌ی زیر در محضرخانه ی (Registry) دستگاه آلوده، ویروس RDN/Generic BackDoor!h با هر بار راه اندازی مجدد سیستم اجرا خواهد شد:

– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ RUN\ADOBE FLASH = %APPDATA%\svchost.exe
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ RUN\ADOBE FLASH = %APPDATA%\svchost.exe

پروسه ذکر شده در بالا با نام svchost.exe که در مسیر %APPDATA%\svchost.exe قرار دارد یک در پشتی (BackDoor) در سیستم باز می کند تا از طریق این در پشتی، به سرویس دهنده ی فرماندهی خود متصل شده و دستورات و فایل های مخرب را دریافت نموده و اطلاعات سیستم را برای سرویس دهنده ی راه دور ارسال نماید.

در پشتی که توسط ویروس باز می شود تلاش می کند به نشانی های زیر وصل شود:

– 206.41.117.***:3921 (irc)
– 206.41.117.***:3921 (irc)

 

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف، در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین با توجه به استفاده این بدافزار از نام svchost.exe برای کدهای آلوده اش در صورت نصب ضدویروس McAfee VirusScna Enterprise 8.8 و فعال بودن قاعده زیر

Prevent Windows Process spoofing

در بخش Access Protection آن جلوی بخشی از فعالیت ویروس (حتی اگر ضدویروس بروز نباشد) گرفته خواهد شد.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 6962 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.

خروج از نسخه موبایل