ويروس RDN/Generic BackDoor!h
چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و با باز کردن یک در پشتی (Back Door) برای نفوذگر امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. این اسب تروا در بهمن ماه سال جاری (1391) منتشر شده است. با توجه به نقشه ی جهانی آلودگی به این ویروس در خاورمیانه پایین میباشد.
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس RDN/Generic BackDoor!h نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا برروی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
نامگذاری
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
| RDN/Generic BackDoor!h!E586CF9F9BDA | McAfee |
| Win32:Malware-gen | avast |
| BackDoor.Bifrose.GC (Trojan horse) | AVG (GriSoft) |
| TR/Crypt.XPACK.Gen | avira |
| Gen:Variant.Graftor.62271 | BitDefender |
| BackDoor.IRC.Sdbot.15749 | Dr.Web |
| VirTool:Win32/CeeInject.gen!EF | Microsoft |
| Win32/Injector.HPY trojan (variant) | Eset |
| W32/Troj_Generic.GUGZS | norman |
خرابکاری
در صورت اجرای این اسب تروا، فایلهای آلودهی زیر در سیستم آلوده کپی می شود:
– %WINDIR%\SYSTEM32\system.acm
– %APPDATA%\svchost.exe
– %TEMP%\Perflib_Perfdata_844.dat
– %TEMP%\Perflib_Perfdata_980.dat
ویروس RDN/Generic BackDoor!h پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آن را در پروسههای سیستمعامل و هر پروسه ای که پس آز آن در حافظه بارگذاری می شود، تزریق نموده و از این طریق باعث اجرای کد موردنظر شود. به بیان دیگر این ویروس تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری میباشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نزم افزارهای دیگر پنهان کند.
با ساختن مدخل های زیر در محضرخانه ی (Registry) دستگاه آلوده، ویروس RDN/Generic BackDoor!h با هر بار راه اندازی مجدد سیستم اجرا خواهد شد:
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ RUN\ADOBE FLASH = %APPDATA%\svchost.exe
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ RUN\ADOBE FLASH = %APPDATA%\svchost.exe
پروسه ذکر شده در بالا با نام svchost.exe که در مسیر %APPDATA%\svchost.exe قرار دارد یک در پشتی (BackDoor) در سیستم باز می کند تا از طریق این در پشتی، به سرویس دهنده ی فرماندهی خود متصل شده و دستورات و فایل های مخرب را دریافت نموده و اطلاعات سیستم را برای سرویس دهنده ی راه دور ارسال نماید.
در پشتی که توسط ویروس باز می شود تلاش می کند به نشانی های زیر وصل شود:
– 206.41.117.***:3921 (irc)
– 206.41.117.***:3921 (irc)
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف، در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین با توجه به استفاده این بدافزار از نام svchost.exe برای کدهای آلوده اش در صورت نصب ضدویروس McAfee VirusScna Enterprise 8.8 و فعال بودن قاعده زیر
Prevent Windows Process spoofing
در بخش Access Protection آن جلوی بخشی از فعالیت ویروس (حتی اگر ضدویروس بروز نباشد) گرفته خواهد شد.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6962 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
