بدافزار

بدافزار RDN/Generic PUP.x

malware_virus-چيست؟

بدافزار RDN/Generic PUP.x دارای درجه خطر کم (Low) است و از نوع “برنامه های ناخواسته” (Potentially Unwanted Program –PUP) می‌باشد که ناآگاهانه توسط کاربر و یا برنامه ای دیگر بر روی دستگاه قربانی نصب شده و تنظیمات سیستم را تغییر می‌دهد. نمونه های جدید این برنامه ناخواسته در اسفند ماه سال جاری (۱۳۹۲) منتشر شده است.

 

نامگذاری ها

اين بدافزار با نام های زير توسط ضدويروس های مختلف شناسايی می شود.

McAfee: RDN/Generic PUP.x
avira: TR/Changeling.A.641
Kaspersky: Trojan.Win32.AntiFW.b
FortiNet: W32/AntiFW.B!tr
Eset: Win32/InstalleRex.M application
vba32: Downloader.Adload

انتشار

برنامه های ناخواسته، ویروس یا اسب تروا نیستند. این برنامه ها بخشی از یک نرم افزار هستند که با هدف خاصی طراحی می‌شوند و می توانند هنگام نصب، تنظیمات امنیتی و یا خصوصی کاربر را بر روی سیستم تغییر دهند. برنامه های ناخواسته از سیستمی به سیستم دیگر انتشار نمی یابند. این برنامه ها معمولا با فریب یا وسوسه کاربر توسط خود کاربر بر روی دستگاه نصب می شوند. البته در اکثر موارد ممکن است برنامه ی ناخواسته بصورت بخشی از یک نرم افزار دیگر باشد و هنگامی که کاربر می‌خواهد آن نرم افزار را بر روی دستگاه نصب نماید، ناآگاهانه باعت نصب برنامه ناخواسته و مزاحم نیز بشود.

 

خرابکاری

به محض آلوده شدن دستگاه فایل های مخرب زیر در مسیرهای مشخص شده، ایجاد می‌شوند.

%ALLUSERSPROFILE%\Application Data\InstallMate\5ABC6324 \cfg\2.ini
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \Setup.ico
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \general_logo.bmp
%TEMP%\Tsu99F1B631.dll
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \Readme.txt
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \v_grey.jpg
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \Setup.exe
%ALLUSERSPROFILE%\Application Data\InstallMate\5ABC6324 \cfg\1.ini
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \_Setup.dll
%TEMP%\{EBB12789-4252-4FA5-AD4E-0A703052057F} \Custom.dll
%TEMP%\391B527C1B7A0C8E3CA094D8ED6CB3FBDA063203.log
%TEMP%\~DF7A62.tmp

همچنین فایل های مخرب زیر به صورت موقت در سیستم ساخته شده و سپس بعد از استفاده از آنها، توسط بدافزار حذف می شوند.

%TEMP%\5ABC6324.dat
%TEMP%\down.1764.v_grey.jpg.part
%TEMP%\down.1764.1.ini.part
%TEMP%\down.1764.2.ini.part
%TEMP%\down.1764.general_logo.bmp.part

بدافزار RDN/Generic PUP.x پس از آلوده نمودن سیستم تلاش می کند با یک دامنه (Domain) پرخطر ارتباط برقرار نموده و در صورت موفقیت، می تواند مشکلات امنیتی دیگری، نظیر ارسال و دریافت اطلاعات و یا دریافت و نصب سایر بدافزار ها را به همراه داشته باشد.  

آسیب دیگر این بدافزار تغییر تنظیمات پیش فرض مربوط به پسوند فایل های مختلف می‌باشد. با این تغییرات ممکن است برخی قالب (format)های فایل به درستی بر روی سیستم اجرا نشوند و یا با برنامه ای غیر از برنامه پیش فرض همیشگی اجرا شوند.

تمامی این تغییرات از طریق دستکاری در کلید Registry زیر صورت می‌گیرد.

– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\EXPLORER\FILEEXTS

در زیر فهرست پسوندهای فایل (File Extension)که تنظیمات آنها تغییر می‌کنند، آورده شده اند.

.386
. AIF
.AIFC
.AIFF
.ASF
.ASX
.AU
.AVI
.BMP
.CDA
.CHK
.CSS
.DIB
.DOC
.DOT
.EMF
.EML
.GIF
.HTM
.HTML
.ICO
.JFIF
.JPG
.MP2
.MP3
.MPEG
.MPG
.OCX
.PNG
.PPT
.TIF
.TIFF
.TXT
.URL
.WMV
.XLS
.XML
.ZIP

بدافزار  RDN/Generic PUP.x تلاش می کند با نشانی های زیر ارتباط برقرار نماید.

54.201.215.**:80
198.7.61.***:80

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از نصب و اجرای برنامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين بدافزار و يا گونه های مشابه را به حداقل برساند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *