نماد سایت اتاق خبر شبکه گستر

ويروس RDN/Generic Dropper

چيست؟

ويروسی با میزان انتشار کم که عملکرد “اسب تروا” (Trojan) داشته و پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. این بدافزار در اسفند ماه سال جاری (1391) منتشر شده است و در موارد متعددی هم در ایران دیده شده است.

 

نامگذاری

اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

– McAfee RDN/Generic Dropper!AE8CFA5616E6
– AVG (GriSoft) Dropper.Generic7.BWSZ (Trojan horse)
– avira Worm/Gamarue.I.1041
– BitDefender Trojan.Nsis.Agent.AH
– Dr.Web BackDoor.Andromeda.22
– Microsoft Worm:Win32/Gamarue.I
– Eset NSIS/TrojanDropper.Agent.BB trojan
– norman Suspicious_Gen4.CNDSE
– panda Trj/Zbot.M
– Trend Micro WORM_GAMARUE.DM

 

انتشار

اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار ويروس RDNGeneric Dropper نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

 

خرابکاری

در صورت اجرای این اسب تروا، فایلهای آلوده‌ی زیر در سیستم آلوده کپی می شود:

– %TEMP%\nsg9.tmp
– %TEMP%\Heqezixoxoh.dll
– %TEMP%\Pefuvujixiz.exe
– %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1482476501- [privatesubnet]522115-500\ a18ca4003deb042bbee7a40f15
– %TEMP%\mecalolowed.dll
– %TEMP%\Togexevefon.dll
– %ALLUSERSPROFILE%\svchost.exe
– %TEMP%\Kohesewonosi.dll

ویروس RDN/Generic Dropper پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آنرا در پروسه‌ها‌ی سیستم‌عامل و هر پروسه ای که پس آز آن در حافظه بارگذاری می شود، تزریق نموده و از این طریق باعث اجرای کد موردنظر شود. به بیان دیگر این ویروس تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قرار دهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری می‌باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.

با ساختن مدخل زیر در محضرخانه ی (Registry) دستگاه آلوده، ویروس RDN/Generic BackDoor با هر بار راه اندازی مجدد سیستم پروسه ای با نام svchost.exe را که همنام با یک پروسه ی سیستمی می باشد، اجرا خواهد نمود:

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN\SUNJAVAUPDATESCHED = %ALLUSERSPROFILE%\svchost.exe

 

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف، در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 7001 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.

خروج از نسخه موبایل