بدافزار FakeAV-M.bfr
بدافزاری از نوع “اسب تروا” (Trojan) است که دارای درجه خطر کم می باشد. پس از آلوده شدن دستگاه، این بدافزار می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. آخرین نگارش این اسب تروا در اسفند ماه سال جاری (1392) منتشر شده است و نمونه های مختلفی از آن در حال انتشار هستند.
نامگذاری ها
اين بدافزار با نام های زير توسط ضدويروس های مختلف شناسايی می شود.
McAfee: FakeAV-M.bfr
Avast: Win32:Trojan-gen
Avira: DR/Delphi.Gen
Kaspersky: Virus.Win32.Delf.de
Dr.Web: Trojan.KillFiles.8611
FortiNet: W32/Delf.DE
Microsoft: Trojan:Win32/Malex.gen!D
Symantec: Trojan Horse
Eset: Win32/Delf.NBA
Norman: win32:win32/SB/Obfuscated_FA
Sophos: W32/Belvima-A
vba32: BScope.Backdoor.Alusinus
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. انتشار بدافزار FakeAV-M.bfr نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد.
خرابکاری
به محض آلوده شدن يک دستگاه به اين بدافزار، فایل های آلوده بسیاری در مسیر های زیر در سیستم ایجاد می شوند.
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \OIS.EXE
– %COMMONPROGRAMFILES%\Microsoft Shared\Source Engine \OSE.EXE– %PROGRAMFILES%\Microsoft Office\OFFICE11\POWERPNT.EXE
– %COMMONPROGRAMFILES%\Microsoft Shared\web server extensions\40\bin\OLD1C.tmp
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader \AcroBroker.exe
– %PROGRAMFILES%\messenger\msmsgsin.exe
– %WINDIR%\svchost.exe
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader \A3DUtility.exe
– %COMMONPROGRAMFILES%\microsoft shared \web server extensions\40\bin\htimage.exe
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \1033\MSOHELP.EXE
– %COMMONPROGRAMFILES%\Microsoft Shared \web server extensions\40\bin\OLD1A.tmp
– %PROGRAMFILES%\Windows NT\Accessories \OLD40.tmp
– %PROGRAMFILES%\Windows Media Player \OLD3E.tmp
– %PROGRAMFILES%\microsoft frontpage \version3.0\bin\fpsrvadm.exe
– %PROGRAMFILES%\internet explorer \connection wizard\isignup.exe
– %PROGRAMFILES%\winrar\winrar.exe
– %COMMONPROGRAMFILES%\microsoft shared \dw\dwtrig20.exe
– %PROGRAMFILES%\internet explorer \connection wizard\icwrmind.exe
– %PROGRAMFILES%\Outlook Express \OLD36.tmp
– %PROGRAMFILES%\netmeeting \cb32.exe
– %PROGRAMFILES%\Adobe\Reader 9.0 \Reader\AdobeCollabSync.exe
– %PROGRAMFILES%\Microsoft Office \OFFICE11\PPTVIEW.EXE
– %COMMONPROGRAMFILES%\microsoft shared \web server extensions\40\bin\imagemap.exe
– %COMMONPROGRAMFILES%\Microsoft Shared \Smart Tag\SmartTagInstall.exe
– %PROGRAMFILES%\internet explorer \connection wizard\icwtutor.exe
– %PROGRAMFILES%\internet explorer \connection wizard\icwconn2.exe
– %COMMONPROGRAMFILES%\Microsoft Shared \web server extensions\40\_vti_bin\_vti_aut\OLD26.tmp
– %COMMONPROGRAMFILES%\microsoft shared \web server extensions\40\bin\fpsrvadm.exe
– %PROGRAMFILES%\microsoft frontpage \version3.0\bin\OLD2E.tmp
– %PROGRAMFILES%\windows nt\pinball \pinball.exe
– %PROGRAMFILES%\outlook express \oemig50.exe
– %PROGRAMFILES%\Movie Maker \OLD30.tmp
– %COMMONPROGRAMFILES%\Microsoft Shared \OFFICE11\MSOICONS.EXE
– %PROGRAMFILES%\Internet Explorer \OLD2A.tmp
– %COMMONPROGRAMFILES% \microsoft shared\dw\dw20.exe
– %PROGRAMFILES%\netmeeting\wb32.exe
– %COMMONPROGRAMFILES%\microsoft shared \web server extensions\40\bin\fpserver.exe
– %PROGRAMFILES%\msn gaming zone\windows \rvsezm.exe
– %PROGRAMFILES%\windows nt\dialer.exe
– %COMMONPROGRAMFILES%\Microsoft Shared \web server extensions\40\_vti_bin\_vti_adm\OLD24.tmp
– %PROGRAMFILES%\outlook express\wabmig.exe
– %COMMONPROGRAMFILES%\microsoft shared \web server extensions\40\isapi\fpcount.exe
– %PROGRAMFILES%\winrar\uninstall.exe
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader \PDFPrevHndlrShim.exe
– %COMMONPROGRAMFILES%\Microsoft Shared \web server extensions\40\_vti_bin\OLD22.tmp
– %PROGRAMFILES%\Outlook Express\OLD34.tmp
– %COMMONPROGRAMFILES%\Adobe\Updater6 \Adobe_Updater.exe
– %COMMONPROGRAMFILES%\Microsoft Shared \web server extensions\40\_vti_bin\OLD20.tmp
– %PROGRAMFILES%\microsoft frontpage \version3.0\bin\fpsrvwin.exe
– %COMMONPROGRAMFILES%\microsoft shared \speech\sapisvr.exe
– %COMMONPROGRAMFILES%\Adobe\Updater6 \AdobeUpdaterInstallMgr.exe
– %COMMONPROGRAMFILES%\Microsoft Shared \MODI\11.0\MSPVIEW.EXE
– %PROGRAMFILES%\internet explorer\connection wizard \inetwiz.exe
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \WINWORD.EXE
– %PROGRAMFILES%\winrar\unrar.exe
– %PROGRAMFILES%\msn gaming zone\windows \zclientm.exe
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \GRAPH.EXE
– %COMMONPROGRAMFILES%\Microsoft Shared \web server extensions\40\bin\OLD1E.tmp
– %PROGRAMFILES%\microsoft frontpage \version3.0\bin\OLD2C.tmp
– %WINDIR%\SYSTEM32\freizer.exe
– %PROGRAMFILES%\Adobe\Reader 9.0 \Reader\Eula.exe
– %PROGRAMFILES%\Adobe\Reader 9.0 \Reader\AcroRd32Info.exe
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \DSSM.EXE
– %PROGRAMFILES%\msn gaming zone\windows \bckgzm.exe
– %PROGRAMFILES%\Windows Media Player \OLD38.tmp
– c:\Users exe File.exe
– %COMMONPROGRAMFILES%\Microsoft Shared \Web Components\11\DFUICOM.EXE
– %PROGRAMFILES%\winrar\rar.exe
– %WINDIR%\SYSTEM32\smrss.exe
– %PROGRAMFILES%\windows nt\hypertrm.exe
– %PROGRAMFILES%\msn gaming zone\windows\shvlzm.exe
– %COMMONPROGRAMFILES%\microsoft shared \msinfo\msinfo32.exe
– %PROGRAMFILES%\Adobe\Reader 9.0\Setup Files \{AC76BA86-7AD7-[private subnet]-A92000000001}\Setup.exe
– %PROGRAMFILES%\NetMeeting\OLD32.tmp
– %COMMONPROGRAMFILES%\Microsoft Shared \OFFICE11\MSOXMLED.EXE
– %PROGRAMFILES%\msn gaming zone\windows \hrtzzm.exe
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader \AcroRd32.exe
– %PROGRAMFILES%\Windows Media Player\OLD3C.tmp
– %COMMONPROGRAMFILES%\Microsoft Shared \MSInfo\OINFOP11.EXE
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \MSTORDB.EXE
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \PROFLWIZ.EXE
– c:\Users exe File.exe
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \WAVTOASF.EXE
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \EXCEL.EXE
– %PROGRAMFILES%\Windows Media Player \OLD3A.tmp
– %PROGRAMFILES%\Microsoft Office\OFFICE11 \MSTORE.EXE
– %COMMONPROGRAMFILES%\Adobe\ARM\1.0 \AdobeARMHelper.exe
– %PROGRAMFILES%\msn gaming zone\windows \chkrzm.exe
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader \AcroTextExtractor.exe
– %PROGRAMFILES%\outlook express\wab.exe
– %PROGRAMFILES%\Internet Explorer\Connection Wizard\OLD28.tmp
– %PROGRAMFILES%\Microsoft Office\OFFICE11\MSOHTMED.EXE
همانطور که از فهرست بالا مشخص است، این بدافزار فایل های همنام با فایل های مربوط به بسیاری از برنامه های کاربردی از جمله Microsoft Office ،Windows Media Player ،Adobe Reader و … را در مسیر نصب این برنامه ها می سازد. پس از اضافه شدن فایل های مذکور به سیستم، تعداد زیادی فایل از روی سیستم حذف می شوند که ممکن است باعث عدم کارکرد صحیح بعضی از برنامه ها شود. فهرست فایل هایی که از سیستم حذف می شوند در زیر آورده شده است.
– %PROGRAMFILES%\Microsoft Office\OFFICE11\1033\PROTTPLN.PPT
– %USERPROFILE%\Desktop\emaillist.txt
– %PROGRAMFILES%\winrar\whatsnew.txt
– %PROGRAMFILES%\Microsoft Office\OFFICE11\1033\QUIKANIM.PPT
– %PROGRAMFILES%\Microsoft Office\OFFICE11\1033\PROTTPLN.DOC
– %PROGRAMFILES%\winrar\rar.txt
– %PROGRAMFILES%\Microsoft Office\MEDIA\CAGCAT10\J0315447.JPG
– %USERPROFILE%\Desktop\Users Word Document.doc
– %COMMONPROGRAMFILES%\microsoft shared\stationery\sunflower bkgrd.jpg
– %COMMONPROGRAMFILES%\microsoft shared\grphflt\ms.jpg
– %PROGRAMFILES%\Microsoft Office\OFFICE11\1033\PROTTPLN.XLS
– %PROGRAMFILES%\winrar\license.txt
– %COMMONPROGRAMFILES%\microsoft shared\stationery\maize bkgrd.jpg
– %PROGRAMFILES%\winrar\readme.txt
– %ALLUSERSPROFILE%\documents\my pictures\sample pictures\sunset.jpg
– %PROGRAMFILES%\Microsoft Office\OFFICE11\1033\XL8GALRY.XLS
– %COMMONPROGRAMFILES%\microsoft shared\web server extensions\40\bin\fpsread9.txt
– %ALLUSERSPROFILE%\documents\my pictures\sample pictures\winter.jpg
– %PROGRAMFILES%\winrar\unrarsrc.txt
– %USERPROFILE%\My Documents\Users Excel Document.xls
– C:\Users Word Document.doc
– %PROGRAMFILES%\winrar\rar_site.txt
– %PROGRAMFILES%\messenger\mailtmpl.txt
– %PROGRAMFILES%\Microsoft Office\MEDIA\CAGCAT10\J0302953.JPG
– %PROGRAMFILES%\Microsoft Office\OFFICE11\1033\PROTTPLV.PPT
– %COMMONPROGRAMFILES%\microsoft shared\stationery\leaves bkgrd.jpg
– %USERPROFILE%\My Documents\Users Word Document.doc
– %PROGRAMFILES%\Microsoft Office\OFFICE11\1033\PROTTPLV.DOC
– C:\Users text file.txt
– C:\Users Excel Document.xls
– %COMMONPROGRAMFILES%\microsoft shared\stationery\pie charts bkgrd.jpg
– %ALLUSERSPROFILE%\documents\my pictures\sample pictures\blue hills.jpg
– %COMMONPROGRAMFILES%\microsoft shared\stationery\glacier bkgrd.jpg
– %ALLUSERSPROFILE%\documents\my pictures\sample pictures\water lilies.jpg
– %PROGRAMFILES%\Microsoft Office\MEDIA\CAGCAT10\J0284916.JPG
– %PROGRAMFILES%\winrar\register.txt
– %COMMONPROGRAMFILES%\microsoft shared\stationery\nature bkgrd.jpg
– %PROGRAMFILES%\Adobe\Reader 9.0\Reader\Optional\README.TXT
– %PROGRAMFILES%\winrar\order.txt
– %USERPROFILE%\Desktop\Users text file.txt
– %PROGRAMFILES%\winrar\technote.txt
– %PROGRAMFILES%\Microsoft Office\OFFICE11\SAMPLES\SOLVSAMP.XLS
– %PROGRAMFILES%\Microsoft Office\OFFICE11\1033\PROTTPLV.XLS
– %COMMONPROGRAMFILES%\microsoft shared\stationery\clear day bkgrd.jpg
– %COMMONPROGRAMFILES%\microsoft shared\stationery\fiesta bkgrd.jpg
– %USERPROFILE%\Desktop\Users Excel Document.xls
– %PROGRAMFILES%\Microsoft Office\MEDIA\CAGCAT10\J0302827.JPG
– %USERPROFILE%\My Documents\Users text file.txt
– %PROGRAMFILES%\outlook express\msoe.txt
اسب تروای FakeAV-M.bfr پس از مقیم شدن در حافظه تلاش می کند کد مخربی را در هر پروسه ای که پیش آن در حافظه بارگذاری شده است، تزریق نموده و از این طریق باعث اجرای کد مورد نظر می شود. به بیان دیگر این بدافزار تلاش می کند خود را در بخشی از حافظه سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری مانند پروسه Winlogon و یا Explorer باشد. به این ترتیب، بدافزار می تواند خود را از دید کاربر یا نرم افزارهای امنیتی پنهان کند.
از خرابکاری های دیگر این اسب تروا تغییر تنظیمات Winlogon می باشد و همچنین مقادیر هسته (Shell) مربوط به Winlogon را تغییر می دهد. این تغییرات با دستکاری دستور زیر در Registry صورت می گیرد و ممکن است باعث شود با ورود به سیستم، پروسه ای خاص بصورت خودکار اجرا گردد.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT \CURRENTVERSION\WINLOGON\SHELL = Explorer.exe smrss.exe
به عنوان نمونه، با اضافه شدن دستور زیر به Registry سیستم، با هر بار راه اندازی مجدد، پروسه آلوده freizer.exe بصورت خودکار اجرا می شود.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\RUN\FREIZER = %WINDIR%\SYSTEM32\freizer.exe
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده برای ضدويروس ها، در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين بدافزار و يا گونه های مشابه را به حداقل برساند.