نماد سایت اتاق خبر شبکه گستر

ویروس BackDoor-FANM

چيست؟

ويروسی با درجه خطر (میزان انتشار) کم که عملکرد “اسب تروا” (Trojan) داشته و با باز کردن یک در پشتی (Back Door) برای حمله کننده امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. آخرین نمونه های این ویروس در اردیبهشت ماه 1392 مشاهده شده است. با توجه به نقشه ی جهانی آلودگی به این ویروس در خاورمیانه پایین تر از سایر نقاط بوده است.

 

نامگذاری

BackDoor-FANM!B16A47C​6BDE5!B16A47C6BDE5McAfee
Backdoor/Win32.Simdaahnlab
Win32:MalOb-IJavast
TR/Crypt.ZPACK.Genavira
Trojan.Packed.198Dr.Web
W32/SearchRedirect.BDX!tr.bdrFortiNet
SScope.Trojan-Proxy.1821vba32

انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار ويروس BackDoor-FANM نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

 

خرابکاری

با اجرای بدافزار در دستگاه قربانی فایل زیر ایجاد و در حافظه قرار می گیرد:

%TEMP%\9A2BF3DF4C.tmp

این فایل بعدا و پس از استقرار کامل بدافزار از دستگاه حذف می شود. اینکار با قراردادن مدخل زیر در محضرخانه صورت می گیرد تا در راه اندازی بعدی دستگاه، فایل مزبورحذف گردد:

 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\CONTROL\ SESSION MANAGER\PENDINGFILERENAMEOPERATIONS =  \??\%TEMP%\9A2BF3DF4C.tmp

سپس فایل زیر در سیستم آلوده کپی می شود:

%TEMP%\5689.sys

این فایل بصورت یک راه انداز (Driver) در حافظه سیستم قرار گرفته و جای پای بدافزار را محکم می کند.
ویروس BackDoor-FANM تلاش می کند تا تنظیمات مربوط به فایل میزبان سیستم (Hosts File) را که در مسیر زیر قرار دارد:

%WINDIR%\SYSTEM32\drivers\etc\hosts

تغییر دهد که با این کار باعث می شود ترافیک سیستم آلوده به سمت یک مسیر نامشخص (احتمالا مخرب) فرستاده شود. به بیان دیگر فایل hosts عملکردی شبیه DNS داشته و می تواند برخی از سایتها را به نشانی IP نامربوطی بفرستد.

همچنین با دستکاری در مدخل زیر تنظیمات مربوط به TCP/IP بر روی سیستم تغییر کرده و نشانیIP مربوط به Name server به نشانی 8.8.8.8 تغییر داده می شود.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\TCPIP \PARAMETERS\INTERFACES\{2AE259D0-AEFC-43D6-A9A2- 8742428A5DA1}\NAMESERVER = 8.8.8.8,[local subnet].1

همچنین این ویروس با گذاشتن نام خود در محضرخانه (Registry) خود را با هربار راه اندازی دستگاه فراخوانی و اجرا می کند.

در پشتی که توسط ویروس باز می شود تلاش می کند به نشانی های زیر وصل شود:

– hxxp://update2.n61k4uo3k85cgt.com/****
– 91.121.12.***:80
– 74.82.216.*:80
– 65.98.83.***:80
– 70.96.0.**:80

 

 پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف، در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 7070 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.

خروج از نسخه موبایل