ویروس RDN/Downloader.gen.a

چيست؟

ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد. آخرین نگارش این ویروس در خرداد ماه سال جاری (1392) منتشر شده است. در حال حاضر میزان آلودگی به این ویروس در خاورمیانه پایین تر از سایر نقاط جهان می باشد.  

نامگذاری ها

اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

– McAfee                  RDN/Downloader.gen.a!​A69E5A9EF25D
– EMSI Software       Trojan.GenericKDZ.20326 (B)
– ahnlab                   Trojan/Win32.Agent
– avast                     Win32:Gamarue-BQ [Drp]
– AVG (GriSoft)         Downloader.Generic13.AXXV
– avira                      TR/Spy.Wauchos.B
– Kaspersky              HEUR:Trojan.Win32.Generic
– BitDefender           Trojan.GenericKDZ.20326
– Dr.Web                 BackDoor.Andromeda.178
– FortiNet                 W32/Kryptik.BBYD!tr
– Eset                      Win32/TrojanDownloader.Wauchos.L
– panda                   Generic Malware
– Sophos                 Mal/Inject-EA
– Trend Micro           WORM_GAMARUE.SMN
– vba32                   Trojan-Dropper.3507

 

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار ويروس RDN/Downloader.gen.a نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.  

خرابکاری

به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسير زير فایل مخرب کپی می شود:

– %TEMP%\A3DAA536580263C99458C52B74CFCB7229A28BDC

همینطور فایل زیر توسط ویروس مورد بررسی قرار گرفته و تجزیه و تحلیل می شود:

– ccaiui.exe

ویروس RDN/Downloader.gen.a تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی می باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.

این بدافزار با تغییر مقادیر مدخل زیر در رجیستری سیستم آلوده، تنظیمات مربوط به پسوند فایل ها را تغییر داده و ممکن است با این کار باعث شود که برخی فایل ها به درستی اجرا نشوند و یا با برنامه ای غیر از برنامه ی پیش فرض خود اجرا شوند:

– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS

ساخته شدن مدخل زیر توسط ویروس و قرار دادن آن در محضرخانه ی سیستم آلوده باعث می شود که با هر بار راه اندازی مجدد سیستم ویروس نیز راه اندازی گردد و فایل مخرب ccaiui.exe روی سیستم آلوده اجرا شود:

– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\375 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccaiui.exe

در ادامه ويروس RDN/Downloader.gen.a سعی می کند با نشانی زیر ارتباط برقرار نماید:

– 65.55.184.**:80

 

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدويروس مک آفی با فایل های اطلاعاتی شماره 7108 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *