نماد سایت اتاق خبر شبکه گستر

بدافزار HLLP.Philis

چيست؟

بدافزاری با درجه خطر کم (Low) و از نوع “کرم” (Worm) است که به طور خودکار خودش را منتشر می کند. آخرین نگارش این بدافزار در دی ماه سال جاری (1392) منتشر شده است. مطابق نقشه جهانی درجه ی خطر این ویروس در خاورمیانه پایین تر از سایر نقاط است.

 

نامگذاری ها

اين بدافزار با نامهای زير توسط ضدويروس های مختلف شناسايی می شود:

McAfee: W32/HLLP.Philis
AVG (GriSoft): win32/nsanti.j
Kaspersky: Worm.Win32.Viking.eh
BitDefender: Packer.Malware.NSAnti.D
Microsoft: Virus:Win32/Viking.AI
Symantec: W32.Looked.BK!gen
Norman: NSAnti.TZK
Panda: W32/Viking.FH

انتشار

بدافزار HLLP.Philis، مانند سایر کرم ها از روشهای متعددی برای انتشار استفاده می کند.

از طریق دیسک های USB قابل حمل (Flash Disk) و CD های قابل نوشتن (Writable) در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.

 

 خرابکاری

به محض آلوده شدن دستگاه فایل های مخرب زیر در مسیرهای مشخص شده کپی می‌شوند:

%WINDIR%\uninstall\rundl132.exe
%WINDIR%\richdll.dll
%WINDIR%\logo1_.exe
%TEMP%\$$aC.tmp
C:\_desktop.ini

همچنین فایل های مخرب زیر بصورت موقت در سیستم ساخته شده و سپس توسط بدافزار حذف می شوند:

%PROGRAMFILES%\Microsoft Office\OFFICE11\WINWORD.EXE
%PROGRAMFILES%\Adobe\Reader 9.0\Reader\AcroBroker.exe
c:\Users exe File.exe
%PROGRAMFILES%\Adobe\Reader 9.0\Reader\AdobeCollabSync.exe
%PROGRAMFILES%\msn\msncorefiles\msn6.exe
%PROGRAMFILES%\Adobe\Reader 9.0\Reader\Eula.exe
c:\Users exe File.exe
%PROGRAMFILES%\winrar\winrar.exe
%PROGRAMFILES%\msn\msncorefiles\update.exe
%PROGRAMFILES%\Adobe\Reader 9.0\Reader\PDFPrevHndlrShim.exe
%TEMP%\$$aC.bat
%PROGRAMFILES%\Adobe\Reader9.0\SetupFiles\{AC76BA86-7AD7- [private subnet]-A92000000001}\Setup.exe
%PROGRAMFILES%\msn\msncorefiles\dw.exe
%PROGRAMFILES%\msn\msncorefiles\setup\msnunin.exe
%PROGRAMFILES%\Microsoft Office\OFFICE11\EXCEL.EXE
%PROGRAMFILES%\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
c:\Users exe File.exe
%PROGRAMFILES%\Adobe\Reader 9.0\Reader \LogTransport2.exe
%PROGRAMFILES%\Adobe\Reader 9.0\Reader \AcroRd32.exe
%PROGRAMFILES%\Adobe\Reader 9.0\Reader \AcroTextExtractor.exe
%PROGRAMFILES%\Adobe\Reader 9.0\Reader\A3DUtility.exe
%PROGRAMFILES%\msn\msncorefiles\copymar.exe
%TEMP%\9D95EED2BFC50C235052CA326B497620323F30A4

کلیدهای زیر در صورت عدم وجود در Registry سیستم آلوده ساخته می‌شود:

HKEY_LOCAL_MACHINE\SOFTWARE\SOFT\
HKEY_LOCAL_MACHINE\SOFTWARE\SOFT\DOWNLOADWWW\

از خرابکاری بدافزار HLLP.Philis تغییر تنظیمات پیش فرض مربوط به پسوند فایل های مختلف می‌باشد. با این تغییرات ممکن فایل ها به درستی بر روی سیستم اجرا نشوند و یا با برنامه ای غیر از برنامه پیش فرض خود اجرا شوند.

تمامی این تغییرات از طریق دستکاری در کلید زیر صورت می‌گیرد:

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\EXPLORER\FILEEXTS

در زیر لیست پسوند فایل هایی (File Extension) که تنظیمات آنها تغییر می‌کند، آورده شده اند:

.386
. AIF
.AIFC
.AIFF
.ASF
.ASX
.AU
.AVI
.BMP
.CDA
.CHK
.CSS
.DIB
.DOC
.DOT
.EMF
.EML
.GIF
.HTM
.HTML
.ICO
.JFIF
.JPG
.MP2
.MP3
.MPEG
.MPG
.OCX
.PNG
.PPT
.TIF
.TIFF
.TXT
.URL
.WMV
.XLS
.XML
.ZIP

پيشگيری

استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگیری در مقابل کرمها می باشد. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين بدافزار محافظت کند.

خروج از نسخه موبایل