انتشار بدافزار جدیدی که حافظههای USB را آلوده میکند
در روزهای اخیر موج جدیدی از نوعی فایل آلوده در حال انتشار است. بر اساس تحقیقات و مشاهدات، ریشه این آلودگی از بدافزاری است که در قالب یک فایل اجرایی با نام تصادفی و اندازه بیش از 20 مگابایت در مسیرهای زیر قرار می گیرد.
\Users \Users\%username% %ProgramData%
عملکرد بدافزار، مخفی ساختن فایلهای ذخیره شده بر روی وسایل ذخیره سازی قابل حمل است.
این بدافزار توسط ضدویروس McAfee با نام های Downloader-FAXH!434F9CCBAF2D، Trojan-FGXR!D3A31A6D4083 و BackDoor-FCSX!E278A1553991 شناسایی می شوند و استفاده از فایل به روز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه های این بدافزار جدید می باشد نیز توصیه می گردد.
برای ضدویروس Bitdefender، به روز رسانی مستمر و خودکار از طریق اینترنت، قابلیت شناسایی گونه های مختلف بدافزار را با نام های Worm.Agent.CJ و Trojan.Agent.BLVR به این ضدویروس اضافه می نماید.
فایل به روز رسانی موقت McAfee از مسیر زیر قابل دریافت است:
http://newsroom.shabakeh.net/wp-content/uploads/2015/08/Extra-v2.zip
برای به روز رسانی موقت توسط فایل EXTRA.DAT و از طریق ابزار مدیریتی McAfee ePolicy Orchestrator مراحل زیر را دنبال کنید:
1- فایل دریافت شده EXTRA.DAT را باز کنید و آنرا از حالت فشرده در آورید. 2- در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Software گزینه Master Repository را انتخاب نمایید. 3- بر روی دگمه Actions کلیک کرده و گزینه Check In Package را انتخاب کنید. 4- پس از فعال کردن گزینه Extra DAT بر روی دگمه Browse کلیک نموده و فایل EXTRA.DAT را انتخاب کنید. در ادامه بر روی دگمه Next کلیک نمایید. 5- پس از ظاهر شدن مشخصات فایل، بر روی دگمه Save کلیک کنید تا فایل در انباره قرار گیرد.
همچنین بخش Access Protection در نرم افزار McAfee VirusScan Enterprise دارای قسمتی با عنوان User-defined Rules است که کاربر را قادر می سازد اجرا شدن فایلهایی خاص در مسیرهای مورد نظر را رهگیری و مسدود کند.
توجه داشته باشید قواعد زیر ممکن است اجرا شدن برخی برنامه های کاربردی دیگر را نیز محدود کند. لذا توصیه می شود این قواعد در ابتدا بصورت آزمایشی بر روی چند دستگاه اعمال شوند.
1- در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Policy گزینه Policy Catalog را انتخاب نمایید. 2- در قسمت Product بر روی گزینه VirusScan Enterprise 8.8.0 کلیک کنید. 3- در قسمت Category نیز گزینه Access Protection Policies را انتخاب کنید. 4- پالیسی سازمان را یافته و در ستون Actions بر روی پیوند Duplicate کلیک کنید. در صورتی که اطمینان ندارید که پالیسی صحیحی را Duplicate کرده باشید می توانید از پیوندهای ستون Assignments کمک بگیرید. بعنوان یک قاعده کلی اگر با کلیک بر روی پیوند مذکور عبارت My Organization ظاهر شود به معنای آن است پالیسی انتخاب شده در صدر پالیسی های دیگر به گروه ها اعمال می شود.
5- در پنجره نمایش داده شده، در قسمت Name عبارت USB Infector را وارد کرده و بر روی دگمه OK کلیک کنید. با این کار یک پالیسی با نام USB Infector به فهرست اضافه خواهد شد.
6- بر روی پیوند USB Infectorکلیک کرده و در پنجره نمایش داده شده، همانطور که در شکل زیر نشان داده شده است، بر روی گزینه User-defined Rules کلیک کنید.
7- در سمت راست بر روی دگمه …New کلیک کنید تا پنجره ای مطابق شکل زیر ظاهر گردد.
8- گزینه File/Folder Blocking Rule را انتخاب نموده و OK را بزنید.
9- فرم ظاهر شده را مطابق شکل زیر تکمیل و بروی دگمه OK کلیک کنید.
10- مراحل ۷ تا ۹ را برای قاعده زیر نیز تکرار کنید.
11- و همینطور برای قاعده زیر
12- بر روی دگمه Save کلیک کنید تا پالیسی ذخیره شود.
13- در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Systems گزینه System Tree را انتخاب نمایید.
14- در ستون سمت چپ، در حالی که گزینه My Organization انتخاب شده است بر روی دگمه System Tree Actions کلیک کرده و گزینه New Subgroup را انتخاب کنید.
15- در پنجره ظاهر شده در قسمت Name کلمه Test Policy را وارد و بر روی دگمه OK کلیک کنید.
16- اکنون گروه Test Policy در قسمت سمت چپ قابل مشاهده است. گروه جدید را انتخاب کرده و در بخش سمت راست بر روی زبانه Assigned Policies کلیک کنید.
17- در قسمت Product، گزینه 8.8.0 VirusScan Enterprise را انتخاب کنید.
18- بر روی پیوند Edit Assignment در سطر مربوط به Access Protection Policies کلیک کنید.
19- گزینه Break inheritance and assign the policy and settings below را فعال نموده و در قسمت Assigned policy، پالیسی USB Infector را انتخاب نمایید.
20- برای ذخیره تغییرات بر روی دگمه Save کلیک کنید.
پس از آن با انتقال کامپیوترهای مورد نظر به گروه جدید می توان سازگار بودن پالیسی تعریف شده را با نرم افزارهای کاربردی سازمان خود مورد بررسی قرار داد.
توضیح اینکه امکان مستثنی کردن فایلهایی خاص در قاعده تعریف شده نیز میسر می باشد.
پس از نهایی شدن پالیسی، قواعد تعریف شده را به پالیسی سازمان، همانطور که در مرحله ۴ اشاره شد، اعمال کرده و دستگاه ها را از گروه Test Policy به محل اولیه خود برگردانید.
