بدافزار !PUP-FDX

چيست؟

بدافزار PUP-FDX با درجه خطر کم (Low) نوعی از “برنامه های ناخواسته” (Potentially Unwanted Program – PUP) می‌باشد که توسط کاربر و یا برنامه ای دیگر بر روی دستگاه قربانی نصب شده و تنظیمات سیستم را تغییر می‌دهد. این برنامه ناخواسته برای اولین بار در آبان ماه سال جاری (1392) مشاهده شد و نگارشهای مختلفی از آن تاکنون منتشر شده است. در حال حاضر، انتشار این بدافزار در خاورمیانه پایین تر از سایر نقاط جهان می‌باشد.

انتشار

“برنامه های ناخواسته”، ویروس یا اسب تروا نیستند. این برنامه ها بخشی از یک نرم افزارند که با هدف خاصی طراحی می‌شوند و می توانند هنگام نصب، تنظیمات امنیتی و یا خصوصی کاربر را بر روی سیستم تغییر دهند. برنامه های ناخواسته از سیستمی به سیستم دیگر انتشار نمی یابند. این برنامه ها توسط کاربر بر روی دستگاه نصب می شوند. البته در اکثر موارد ممکن است برنامه ی ناخواسته بصورت بخشی از یک نرم افزار باشد و هنگامی که کاربر می‌خواهد آن نرم افزار را بر روی دستگاه نصب نماید، بطور ناخواسته باعت نصب برنامه ناخواسته و مزاحم نیز می شود.

نام گذاری

این بدافزار با نام های زیر توسط ضد ویروس های مختلف شناسایی می شود:

McAfee: PUP-FDX!
Kaspersky: Downloader.Win32.AdLoad.fwz
Dr.Web: Adware.Downware.1442
FortiNet: Riskware/InstalleRex
Eset: Win32/InstalleRex.K application
vba32: Downware.TSU

خرابکاری

بدافزار PUP-FDX نوعی برنامه ناخواسته می‌باشد و در صورتی که بر روی یک دستگاه نصب شود می تواند تنظیمات امنیتی سیستم و تنظیمات پیش فرض کاربر را تغییر دهد.

با نصب برنامه ی ناخواسته‌‌ PUP-FDX بر روی سیستم، فایل های مخرب در مسیرهای زیر ایجاد می‌شوند.

%TEMP%\342AA932E5772D921F0B628F282061C59DBF1E56.log
%TEMP%\{5FC7E375-A605-471D-A5F6-EE278424C183}\Setup.ico
%TEMP%\{5FC7E375-A605-471D-A5F6-EE278424C183}\_Setup.dll
%TEMP%\{5FC7E375-A605-471D-A5F6-EE278424C183}\v_grey.jpg
%TEMP%\{5FC7E375-A605-471D-A5F6-EE278424C183}\Setup.exe
%TEMP%\Tsu71159E92.dll
%TEMP%\{5FC7E375-A605-471D-A5F6-EE278424C183}\general_logo.jpg
%TEMP%\{5FC7E375-A605-471D-A5F6-EE278424C183}\Readme.txt
%TEMP%\{5FC7E375-A605-471D-A5F6-EE278424C183}\Custom.dll
%ALLUSERSPROFILE%\Application Data\InstallMate\31AE2A40\cfg\1.ini
%TEMP%\~DF59CD.tmp

همچنین فایل های زیر بصورت موقت در سیستم ایجاد شده و بعدا حذف می‌شوند.

%TEMP%\down.280.general_logo.jpg.part
%TEMP%\down.280.1.ini.part
%TEMP%\down.280.v_grey.jpg.part
%TEMP%\31AE2A40.dat

پس از نصب این برنامه ناخواسته بر روی سیستم، بدافزار تلاش می‌کند با استفاده از پودمان HTTP به سرویس دهنده خاصی متصل شده و اقدام به تبادل اطلاعات نماید.

بدافزار PUP-FDX همچنین تنظیمات مرورگر IE را تغییر داده و Cookie های این مرورگر را حذف کرده و تعداد جدیدی نیز به آن اضافه می‌کند.

پس از آلوده شدن سیستم، بدافزار تلاش می‌کند با نشانی های زیر از طریق پودمان HTTP ارتباط برقرار نماید.

198.7.61.***:80
hxxp://r1.stylezip.info/*****

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از نصب و اجرای برنامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين بدافزار و يا گونه های مشابه را به حداقل برساند.