اسب تروا

بدافزار Generic Downloader.gf

اسب ترواچيست؟

بدافزاری از نوع “اسب تروا” (Trojan) و با درجه خطر کم است. پس از آلوده کردن دستگاه، بدافزار می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور مورد استفاده قرار گیرد. این اسب تروا برای اولین بار در مهر ماه سال 1389مشاهده شده است و آخرین نگارش این ویروس در بهمن ماه سال 1391 منتشر شد. در حال حاضر شدت آلودگی به این ویروس در خاورمیانه پایین است و بیشترین آلودگی ها در چین مشاهده شده است.

 

نامگذاری ها

اين بدافزار با نام های زير توسط ضدبدافزارهای مختلف شناسايی می شود:

Generic Downloader.gf!McAfee
Win32:AutoRun-BSV [Wrm]avast
Win32/Wapomi.EAVG (GriSoft)
TR/Spy.Viking.Genavira
Win32.Jadtre.FBitDefender
exploit:win32/shellcode.gen!b [generic]Microsoft
Win32/Wapomi.Y virus (variant)Eset
Killav.AWIGnorman
Trj/Genetic.genpanda
Mal/Jadtre-ASophos

 


انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار بدافزار Generic Downloader.gf نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

خرابکاری

به محض آلوده شدن دستگاه به بدافزار Generic Downloader.gf، فایل های مخرب زیر در مسیرهای مشخص شده ایجاد می‌شوند.

%WINDIR%\SYSTEM32\6to4.dll
C:\Documents and Settings\Infotmp.txt
%WINDIR%\SYSTEM32\pchsvc.dll

همچنین تنظیمات زیر در صورت عدم وجود در Registry انجام می‌شود.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\6TO4\PARAMETERS\

از جمله خرابکاری بدافزار Generic Downloader.gf، تغییر تنظیمات پیش فرض جهت ارتباط پسوند فایل های مختلف با نرم افزارهایی که باید آنها را اجرا کنند، می‌باشد. با این تغییرات ممکن فایل ها به درستی بر روی سیستم اجرا نشوند و یا با نرم افزاری غیر از نرم افزار پیش فرض خود اجرا شوند.

تمامی این تغییرات از طریق دستکاری در تنظیمات زیر در Registry صورت می‌گیرد.

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS

در زیر فهرست پسوند (File Extension) فایل هایی که تنظیمات آنها توسط بدافزار تغییر داده می شوند، آورده شده اند.

.386
. AIF
.AIFC
.AIFF
.ASF
.ASX
.AU
.AVI
.BMP
.CDA
.CHK
.CSS
.DIB
.DOC
.DOT
.EMF
.EML
.GIF
.HTM
.HTML
.ICO
.JFIF
.JPG
.MP2
.MP3
.MPEG
.MPG
.OCX
.PNG
.PPT
.TIF
.TIFF
.TXT
.URL
.WMV
.XLS
.XML
.ZIP

پيشگيری

به روز نگه داشتن ضدبدافزار، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين بدافزار و يـا گونه های مشابه را به حداقل برسانند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *