بدافزار Generic Downloader.gf
چيست؟
بدافزاری از نوع “اسب تروا” (Trojan) و با درجه خطر کم است. پس از آلوده کردن دستگاه، بدافزار می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور مورد استفاده قرار گیرد. این اسب تروا برای اولین بار در مهر ماه سال 1389مشاهده شده است و آخرین نگارش این ویروس در بهمن ماه سال 1391 منتشر شد. در حال حاضر شدت آلودگی به این ویروس در خاورمیانه پایین است و بیشترین آلودگی ها در چین مشاهده شده است.
نامگذاری ها
اين بدافزار با نام های زير توسط ضدبدافزارهای مختلف شناسايی می شود:
| Generic Downloader.gf! | McAfee |
| Win32:AutoRun-BSV [Wrm] | avast |
| Win32/Wapomi.E | AVG (GriSoft) |
| TR/Spy.Viking.Gen | avira |
| Win32.Jadtre.F | BitDefender |
| exploit:win32/shellcode.gen!b [generic] | Microsoft |
| Win32/Wapomi.Y virus (variant) | Eset |
| Killav.AWIG | norman |
| Trj/Genetic.gen | panda |
| Mal/Jadtre-A | Sophos |
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار بدافزار Generic Downloader.gf نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
به محض آلوده شدن دستگاه به بدافزار Generic Downloader.gf، فایل های مخرب زیر در مسیرهای مشخص شده ایجاد میشوند.
%WINDIR%\SYSTEM32\6to4.dll
C:\Documents and Settings\Infotmp.txt
%WINDIR%\SYSTEM32\pchsvc.dll
همچنین تنظیمات زیر در صورت عدم وجود در Registry انجام میشود.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\6TO4\PARAMETERS\
از جمله خرابکاری بدافزار Generic Downloader.gf، تغییر تنظیمات پیش فرض جهت ارتباط پسوند فایل های مختلف با نرم افزارهایی که باید آنها را اجرا کنند، میباشد. با این تغییرات ممکن فایل ها به درستی بر روی سیستم اجرا نشوند و یا با نرم افزاری غیر از نرم افزار پیش فرض خود اجرا شوند.
تمامی این تغییرات از طریق دستکاری در تنظیمات زیر در Registry صورت میگیرد.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS
در زیر فهرست پسوند (File Extension) فایل هایی که تنظیمات آنها توسط بدافزار تغییر داده می شوند، آورده شده اند.
.386
. AIF
.AIFC
.AIFF
.ASF
.ASX
.AU
.AVI
.BMP
.CDA
.CHK
.CSS
.DIB
.DOC
.DOT
.EMF
.EML
.GIF
.HTM
.HTML
.ICO
.JFIF
.JPG
.MP2
.MP3
.MPEG
.MPG
.OCX
.PNG
.PPT
.TIF
.TIFF
.TXT
.URL
.WMV
.XLS
.XML
.ZIP
پيشگيری
به روز نگه داشتن ضدبدافزار، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين بدافزار و يـا گونه های مشابه را به حداقل برسانند.
