ویروس BackDoor-FANM
چيست؟
ويروسی با درجه خطر (میزان انتشار) کم که عملکرد “اسب تروا” (Trojan) داشته و با باز کردن یک در پشتی (Back Door) برای حمله کننده امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. آخرین نمونه های این ویروس در اردیبهشت ماه 1392 مشاهده شده است. با توجه به نقشه ی جهانی آلودگی به این ویروس در خاورمیانه پایین تر از سایر نقاط بوده است.
نامگذاری
BackDoor-FANM!B16A47C6BDE5!B16A47C6BDE5 | McAfee |
Backdoor/Win32.Simda | ahnlab |
Win32:MalOb-IJ | avast |
TR/Crypt.ZPACK.Gen | avira |
Trojan.Packed.198 | Dr.Web |
W32/SearchRedirect.BDX!tr.bdr | FortiNet |
SScope.Trojan-Proxy.1821 | vba32 |
انتشار
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.
انتشار ويروس BackDoor-FANM نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
خرابکاری
با اجرای بدافزار در دستگاه قربانی فایل زیر ایجاد و در حافظه قرار می گیرد:
%TEMP%\9A2BF3DF4C.tmp
این فایل بعدا و پس از استقرار کامل بدافزار از دستگاه حذف می شود. اینکار با قراردادن مدخل زیر در محضرخانه صورت می گیرد تا در راه اندازی بعدی دستگاه، فایل مزبورحذف گردد:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\CONTROL\ SESSION MANAGER\PENDINGFILERENAMEOPERATIONS = \??\%TEMP%\9A2BF3DF4C.tmp
سپس فایل زیر در سیستم آلوده کپی می شود:
%TEMP%\5689.sys
این فایل بصورت یک راه انداز (Driver) در حافظه سیستم قرار گرفته و جای پای بدافزار را محکم می کند.
ویروس BackDoor-FANM تلاش می کند تا تنظیمات مربوط به فایل میزبان سیستم (Hosts File) را که در مسیر زیر قرار دارد:
%WINDIR%\SYSTEM32\drivers\etc\hosts
تغییر دهد که با این کار باعث می شود ترافیک سیستم آلوده به سمت یک مسیر نامشخص (احتمالا مخرب) فرستاده شود. به بیان دیگر فایل hosts عملکردی شبیه DNS داشته و می تواند برخی از سایتها را به نشانی IP نامربوطی بفرستد.
همچنین با دستکاری در مدخل زیر تنظیمات مربوط به TCP/IP بر روی سیستم تغییر کرده و نشانیIP مربوط به Name server به نشانی 8.8.8.8 تغییر داده می شود.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\TCPIP \PARAMETERS\INTERFACES\{2AE259D0-AEFC-43D6-A9A2- 8742428A5DA1}\NAMESERVER = 8.8.8.8,[local subnet].1
همچنین این ویروس با گذاشتن نام خود در محضرخانه (Registry) خود را با هربار راه اندازی دستگاه فراخوانی و اجرا می کند.
در پشتی که توسط ویروس باز می شود تلاش می کند به نشانی های زیر وصل شود:
– hxxp://update2.n61k4uo3k85cgt.com/****
– 91.121.12.***:80
– 74.82.216.*:80
– 65.98.83.***:80
– 70.96.0.**:80
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف، در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 7070 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.