بدافزار RDN/Generic PUP.x دارای درجه خطر کم (Low) است و از نوع “برنامه های ناخواسته” (Potentially Unwanted Program –PUP) میباشد که ناآگاهانه توسط کاربر و یا برنامه ای دیگر بر روی دستگاه قربانی نصب شده و تنظیمات سیستم را تغییر میدهد. نمونه های جدید این برنامه ناخواسته در اسفند ماه سال جاری (۱۳۹۲) منتشر شده است.
نامگذاری ها
اين بدافزار با نام های زير توسط ضدويروس های مختلف شناسايی می شود.
McAfee: RDN/Generic PUP.x
avira: TR/Changeling.A.641
Kaspersky: Trojan.Win32.AntiFW.b
FortiNet: W32/AntiFW.B!tr
Eset: Win32/InstalleRex.M application
vba32: Downloader.Adload
انتشار
برنامه های ناخواسته، ویروس یا اسب تروا نیستند. این برنامه ها بخشی از یک نرم افزار هستند که با هدف خاصی طراحی میشوند و می توانند هنگام نصب، تنظیمات امنیتی و یا خصوصی کاربر را بر روی سیستم تغییر دهند. برنامه های ناخواسته از سیستمی به سیستم دیگر انتشار نمی یابند. این برنامه ها معمولا با فریب یا وسوسه کاربر توسط خود کاربر بر روی دستگاه نصب می شوند. البته در اکثر موارد ممکن است برنامه ی ناخواسته بصورت بخشی از یک نرم افزار دیگر باشد و هنگامی که کاربر میخواهد آن نرم افزار را بر روی دستگاه نصب نماید، ناآگاهانه باعت نصب برنامه ناخواسته و مزاحم نیز بشود.
خرابکاری
به محض آلوده شدن دستگاه فایل های مخرب زیر در مسیرهای مشخص شده، ایجاد میشوند.
%ALLUSERSPROFILE%\Application Data\InstallMate\5ABC6324 \cfg\2.ini
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \Setup.ico
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \general_logo.bmp
%TEMP%\Tsu99F1B631.dll
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \Readme.txt
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \v_grey.jpg
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \Setup.exe
%ALLUSERSPROFILE%\Application Data\InstallMate\5ABC6324 \cfg\1.ini
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \_Setup.dll
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \Custom.dll
%TEMP%\391B527C1B7A0C8E3CA094D8ED6CB3FBDA063203.log
%TEMP%\~DF7A62.tmp
همچنین فایل های مخرب زیر به صورت موقت در سیستم ساخته شده و سپس بعد از استفاده از آنها، توسط بدافزار حذف می شوند.
%TEMP%\5ABC6324.dat
%TEMP%\down.1764.v_grey.jpg.part
%TEMP%\down.1764.1.ini.part
%TEMP%\down.1764.2.ini.part
%TEMP%\down.1764.general_logo.bmp.part
بدافزار RDN/Generic PUP.x پس از آلوده نمودن سیستم تلاش می کند با یک دامنه (Domain) پرخطر ارتباط برقرار نموده و در صورت موفقیت، می تواند مشکلات امنیتی دیگری، نظیر ارسال و دریافت اطلاعات و یا دریافت و نصب سایر بدافزار ها را به همراه داشته باشد.
آسیب دیگر این بدافزار تغییر تنظیمات پیش فرض مربوط به پسوند فایل های مختلف میباشد. با این تغییرات ممکن است برخی قالب (format)های فایل به درستی بر روی سیستم اجرا نشوند و یا با برنامه ای غیر از برنامه پیش فرض همیشگی اجرا شوند.
تمامی این تغییرات از طریق دستکاری در کلید Registry زیر صورت میگیرد.
– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\EXPLORER\FILEEXTS
در زیر فهرست پسوندهای فایل (File Extension)که تنظیمات آنها تغییر میکنند، آورده شده اند.
.386
. AIF
.AIFC
.AIFF
.ASF
.ASX
.AU
.AVI
.BMP
.CDA
.CHK
.CSS
.DIB
.DOC
.DOT
.EMF
.EML
.GIF
.HTM
.HTML
.ICO
.JFIF
.JPG
.MP2
.MP3
.MPEG
.MPG
.OCX
.PNG
.PPT
.TIF
.TIFF
.TXT
.URL
.WMV
.XLS
.XML
.ZIP
بدافزار RDN/Generic PUP.x تلاش می کند با نشانی های زیر ارتباط برقرار نماید.
54.201.215.**:80
198.7.61.***:80
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از نصب و اجرای برنامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين بدافزار و يا گونه های مشابه را به حداقل برساند.