چيست؟
ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد. آخرین نگارش این ویروس در خرداد ماه سال جاری (1392) منتشر شده است. در حال حاضر میزان آلودگی به این ویروس در خاورمیانه پایین تر از سایر نقاط جهان می باشد.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
– McAfee RDN/Downloader.gen.a!A69E5A9EF25D
– EMSI Software Trojan.GenericKDZ.20326 (B)
– ahnlab Trojan/Win32.Agent
– avast Win32:Gamarue-BQ [Drp]
– AVG (GriSoft) Downloader.Generic13.AXXV
– avira TR/Spy.Wauchos.B
– Kaspersky HEUR:Trojan.Win32.Generic
– BitDefender Trojan.GenericKDZ.20326
– Dr.Web BackDoor.Andromeda.178
– FortiNet W32/Kryptik.BBYD!tr
– Eset Win32/TrojanDownloader.Wauchos.L
– panda Generic Malware
– Sophos Mal/Inject-EA
– Trend Micro WORM_GAMARUE.SMN
– vba32 Trojan-Dropper.3507
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس RDN/Downloader.gen.a نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسير زير فایل مخرب کپی می شود:
– %TEMP%\A3DAA536580263C99458C52B74CFCB7229A28BDC
همینطور فایل زیر توسط ویروس مورد بررسی قرار گرفته و تجزیه و تحلیل می شود:
– ccaiui.exe
ویروس RDN/Downloader.gen.a تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی می باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.
این بدافزار با تغییر مقادیر مدخل زیر در رجیستری سیستم آلوده، تنظیمات مربوط به پسوند فایل ها را تغییر داده و ممکن است با این کار باعث شود که برخی فایل ها به درستی اجرا نشوند و یا با برنامه ای غیر از برنامه ی پیش فرض خود اجرا شوند:
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS
ساخته شدن مدخل زیر توسط ویروس و قرار دادن آن در محضرخانه ی سیستم آلوده باعث می شود که با هر بار راه اندازی مجدد سیستم ویروس نیز راه اندازی گردد و فایل مخرب ccaiui.exe روی سیستم آلوده اجرا شود:
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\375 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccaiui.exe
در ادامه ويروس RDN/Downloader.gen.a سعی می کند با نشانی زیر ارتباط برقرار نماید:
– 65.55.184.**:80
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدويروس مک آفی با فایل های اطلاعاتی شماره 7108 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.