بدافزار RDNGeneric VB.kk
چيست؟
بدافزاری است با درجه خطر کم و از نوع “اسب تروا” (Trojan). پس از آلوده کردن دستگاه می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی استفاده گردد. این اسب تروا برای اولین بار در دی ماه سال جاری (1392) کشف شده است. در حال حاضر شدت آلودگی به این ویروس در خاورمیانه پایین تر از سایر نقاط جهان است.
نامگذاری ها
اين بدافزار با نام های زير توسط ضدويروس های مختلف شناسايی می شود.
McAfee: RDN/Generic VB.kk!
Avast: Win32: VB-AAVL [Trj]
AVG (GriSoft): Generic26.BXQP (Trojan horse)
Kaspersky: Trojan.Win32.Jorik.Vobfus.lcb
BitDefender: Trojan.Agent.AUBM
Microsoft: Worm:Win32/Vobfus.gen!P
Symantec: W32.Changeup!gen15
Panda: Generic Trojan
انتشار
اسب های تروا، برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار اسب تروای RDN/Generic VB.kk نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
بدافزار RDN/Generic VB.kk به محض آلوده کردن دستگاه، نسخه ای از خود را در مسیر زیر ایجاد می کند.
%USERPROFILE%\guuyie.exe
یکی از آسیب های این بدافزار، تغییر تنظیمات پیش فرض مرورگر سیستم عامل (Windows Explorer) می باشد. تنظیمات مربوط به نمایش فایل های مخفی و فایل های سیستمی و پسوند فایل ها همگی غیر فعال شده، به نحوی که کاربر دیگر نمی تواند فایل های مخفی را مشاهده کند. همچنین ممکن است فایل های اجرایی به صورت فایل های متنی دیده شوند تا کاربر به اشتباه بر روی آنها کلیک کند. این تغییر تنظیمات در Registry اعمال می شود.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\EXPLORER\ADVANCED\SHOWSUPERHIDDEN = 0
بدافزار RDN/Generic VB.kk با ساختن کلید زیر در Registry سیستم آلوده، باعث می شود با هر بار راه اندازی مجدد سیستم، فایل مخرب guuyie.exe روی سیستم آلوده اجرا شده و بدافزار دوباره فعال گردد.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\RUN\GUUYIE = %USERPROFILE%\guuyie.exe /C
از دیگر خرابکاری های این اسب تروا غیر فعال کردن به روزرسانی خودکار سیستم عامل WIndows می باشد که خود می تواند باعث ایجاد ضعف های امنیتی جدیدی شود. این تنظیم با دستکاری در کلید زیر در Registry انجام می شود.
HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES\MICROSOFT \WINDOWS\WINDOWSUPDATE\AU\NOAUTOUPDATE = 1
از دیگر آسیب های این اسب تروا تغییر دادن و یا اضافه کردن Cookies های جدید به مرورگر IE می باشد.
همچنین بدافزار RDN/Generic VB.kk تلاش می کند با نشانی های زیر ارتباط برقرار نماید.
213.249.64.***:8000
255.255.255.***:8000
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا و عدم اجرای فایل های مشکوک بر روی حافظه های جانبی، همگی می توانند خطر آلوده شدن به اين بدافزار و يـا گونه های مشابه را به حداقل برسانند.