بدافزار RDNGeneric Dropper!rz درجه خطر کم دارد و از نوع “اسب تروا” (Trojan) است. پس از آلوده کردن دستگاه، این بدافزار می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی استفاده گردد. اولین نسخه این اسب تروا در آبان ماه سال جاری (1392) مشاهده شده است و نگارش های مختلفی از آن منتشر گردیده. در حال حاضر شدت آلودگی به این ویروس در خاورمیانه پایین تر از سایر نقاط جهان است و بیشترین آلودگی ها در کشور روسیه ثبت شده است.
نامگذاری ها
اين بدافزار با نام های زير توسط ضدويروس های مختلف شناسايی می شود:
McAfee RDN/Generic Dropper!rz!D1C659EF2AF9
AVG Dropper.Generic8.CISH (Trojan horse)
avira TR/Dropper.MSIL.Gen7
Kaspersky HEUR:Trojan.Win32.Generic
BitDefender Gen:Variant.Kazy.253458
Eset MSIL/Kryptik.MJ trojan (variant)
Norman Suspicious_Gen4.FFBDU
panda Suspicious
Sophos Mal/Generic-S
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار بدافزار RDNGeneric Dropper!rz نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
بدافزار RDNGeneric Dropper!rz فایلهای مخرب زیر را در دستگاه آلوده کپی می کند:
– %TEMP%\~DF5B78.tmp
– %USERPROFILE%\Applications\NT\svchost.exe
– %TEMP%\Trojan.exe
– %TEMP%\Trojan.exe.tmp
– %TEMP%\nfnegd.bat
همچنین دو فایل با نام های شانسی در مسیر های زیر قرار داده میشوند:
– %TEMP%\809.exe
– %USERPROFILE%\Start Menu\Programs\Startup\ 5cd8f17f4086744065eb0992a09e05a2.exe
بدافزار RDNGeneric Dropper!rz تلاش می کند خود را در بخشی از حافظه سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری مانند Explorer می باشد. به این شکل بدافزار می تواند خود را از چشم کاربر یا سایر نرم افزارهای دیگر پنهان کند.
همچنین با تغییر تنظیمات مربوط به پسوند فایلها، بدافزار می تواند فایل های اجرایی (Exe) را بصورت فایل متنی در آورده و از این طریق، فایل های آلوده را از دید کاربر مخفی نگه دارد.
یکی از آسیب های این بدافزار تغییر تنظیمات پیش فرض مرورگر ویندوز (Windows Explorer) می باشد. تنظیمات مربوط به نمایش فایل های مخفی، فایل های سیستمی و پسوند فایل ها همگی غیر فعال شده و کاربر نمی تواند فایل های مخفی را مشاهده کند. این تنظیمات با تغییر در مقادیر مدخل های زیر در Registry سیستم عامل اعمال می شود:
– HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\EXPLORER\ADVANCED\HIDDEN = 2
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\EXPLORER\ADVANCED\SHOWSUPERHIDDEN = 0
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\EXPLORER\ADVANCED\SUPERHIDDEN = 1
بدافزار RDNGeneric Dropper!rz با ساختن کلیدهای زیر و قرار دادن آن در Registry سیستم آلوده باعث می شود با هر بار راه اندازی مجدد سیستم، بدافزار نیز راه اندازی گردد و فایل مخرب Trojan.exe روی سیستم آلوده اجرا شود:
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN\5CD8F17F4086744065EB0992A09E05A2 = “%TEMP%\Trojan.exe”
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN\5CD8F17F4086744065EB0992A09E05A2 = “%TEMP%\Trojan.exe”
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا و عدم اجرای فایل های مشکوک بر روی حافظه های جانبی، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.