بدافزار Downloader.gen.a
بدافزاری از نوع “اسب تروا” (Trojan) است که در گروه “دریافت کننده ها” (Downloader) قرار می گیرد. اين بدافزار برای اولین بار در مرداد ماه سال 1385 مشاهده شده است و از آن زمان تاکنون نسخه های مختلفی از آن منتشر شده است. آخرین نگارش این اسب تروا در آذر ماه سال جاری (1392) منتشر شد. در حال حاضر میزان آلودگی به این بدافزار در خاورمیانه پایین تر از سایر نقاط جهان است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. انتشار ويروس Downloader.gen.a نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد.
نامگذاری
این بدافزار با نام های زیر توسط ضدویروس های مختلف شناسایی می شود.
avast: NSIS:Adware-JX [Adw]
AVG (GriSoft): Generic.85C.
Dr.Web: Trojan.DownLoader9.60848
FortiNet: W32/DownWare.G
Symantec: Trojan.ADH.2
Eset: Win32/DownWare.G (application)
norman: SB/Downloader
Sophos: Jottix (PUA(
vba32: Trojan.Downloader.gen.h (suspected)
خرابکاری
نسخه های قدیمی بدافزار Downloader.gen.a از یک نقطه ضعف در نرم افزار Windows Media Player برای انتشار خود استفاده می کردند. این نقطه ضعف مدتهاست که توسط شرکت مایکروسافت با انتشار اصلاحیه ای (CVE-2012-0003) ترمیم و برطرف شده است.
لازم به یادآوری است که این نقطه ضعف دارای درجه اهمیت “حیاتی” (Critical) بوده و سوء استفاده از آن می تواند امکان اجرای دستورات مخرب را از راه دور بر روی سیستم فراهم آورد.
با آلوده شدن سیستم به این بدافزار فایل های آلوده زیر بر روی سیستم ایجاد می شوند.
%TEMP%\nsv11.tmp\nsWeb.dll
%TEMP%\tmp_13242.txt
%APPDATA%\xVidly\av.vbs
%TEMP%\nsv11.tmp\System.dll
%TEMP%\nsv11.tmp\nsExec.dll
%TEMP%\nsv11.tmp\UserInfo.dll
%TEMP%\nsv11.tmp\inetc.dll
%TEMP%\nsv11.tmp\registry.dll
%TEMP%\nsv11.tmp\tmp_13242.txt
%TEMP%\nsv11.tmp\IpConfig.dll
%TEMP%\nsv11.tmp\mconduitinstaller.exe
%TEMP%\nsv11.tmp\ns3E.tmp
%TEMP%\nsv11.tmp
%TEMP%\nsv10.tmp
همچنین فایل زیر دستکاری می شود.
%TEMP%orary Internet Files\Content.IE5\index.dat
پس از آلوده شدن سیستم، بدافزار تلاش می کند با دریافت دیگر بدافزارهای مخرب از اینترنت و اجرای آنها بر روی سیستم باعث آلودگی بیشتر دستگاه شود.
همچنین بدافزار Downloader.gen.a می تواند با اتصال به یک دامنه خاص، اقدام به دریافت اطلاعات و فایل های مخرب نماید و یا اطلاعاتی را از سیستم به بیرون ارسال کند.
با آلوده شدن سیستم، کلیدهای زیر در محضرخانه (Registry) سیستم ایجاد شده و یا تغییر داده می شوند.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS SCRIPT HOST\
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS SCRIPT HOST\SETTINGS\
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\DIRECTDRAW\MOSTRECENTAPPLICATION\ID = 1260053452
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\DIRECTDRAW\MOSTRECENTAPPLICATION\NAME= 27A7FD968DA97BBCCE119555DC8927E5C2001E0B
بدافزار Downloader.gen.a تلاش می کند با نشانی های زیر ارتباط برقرار کند.
54.246.138.***:80
hxxp://www.xvidly.com/*****
54.229.65.***:80
54.240.188.***:80
hxxp://install.xvidly.com/addons/*****
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر، در کنار آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين بدافازر و يا گونه های مشابه را به حداقل برساند.