رفتن به مطلب

بدافزار های پنهان گر(backdoor-FHI)


Yazdan

پست های پیشنهاد شده

بر طبق اطلاع رسانی سایت McAfee، که یکی از بزرگترین سایت های امنیتی دنیاست، این بد افزار که برای بازیابی فایل ها و فولدر های پنهان شده مورد استفاده قرار می گیرد، قادر به آلوده سازی منابع مشترک شبکه می باشد. هنگامی که فایل اصلی بدافزار که غالبا یک shortcut تقلبی از فولدر های موجود در حافظه است، اجرا شود، عمل آلوده کردن صورت می گیرد.

 

همچنین این بدافزار با بازکردن یک درب پشتی و اضافه کردن فایل های مخرب، برای حمله کننده امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. این بدافزارها اغلب به طور دستی گسترش یافته اند ( کاربری به طور نا آگاهانه آن بد افزار را به صورت دستی اجرا می کند). اما مهم ترین راه نصب این بدافزار شامل سوء استفاده یا استثمار سیستم یا سیستم امنیتی است. کانال های پخش این بد افزار شامل email ، صفحات و سایت های تقلبی و کلاهبرداری، صفحات هک شده، شبکه های peer to peer ، و ... می باشد.

Backdoor ها اغلب از طریق ضمیمه های ایمیل به کامپیوتر راه می یابند اما گاهی از طریق دانلود و اجرای برخی نرم افزارها که در آن ها فایل آلوده وجود دارد، و یا از طریق نرم افزارهای third party به کامپیوتر ها راه می یابند.

 

در حالت اجرا، تروجان خود را وارد مسیر زیر می کند و وارد کامپیوتر می شود:

 

%userprofile%\application data\[random]\[random].exe

و سپس چند کپی از خود را در محل های مختلف قرار می دهد و فایل هایی که نامشان را از فایل های موجود در حافظه سیستم گرفته اند، ایجاد می شوند و این کار پس از پنهان کردن فایل های اصلی صورت می گیرد. پسوند های مورد توجه این بدافزار که از آنها shortcut تهیه می کند و آن ها را پنهان می کند به صورت زیر است:

 

Xld,doc,mp3,ppt,dll,db

 

علائمی که با توجه به آن متوجه می شویم سیستم آلوده به بد افزار backdoor-FHL است :

 

1 . اگر فایل یا فولدر هم نام در مکان مشابه وجود دارد که به صورت hidden است، احتمالا توسط بدافزار ایجاد شده که فایل اصلی را تبدیل به hidden کرده است.

 

2 . اگر فایل یا پوشه همنام با فایل shortcut هم نام وجود دارد که به صورت hidden نیست، احتمالا shortcut ، همان بد افزار است.

 

3 . اگر فایل یا فولدری با نامی غیر از فایل shortcut باشد، امکان آن وجود دارد که shortcut آلوده باشد.

 

همچنین در صورت آلودگی به این بدافزار، احتمالا کلید رجیستری زیر وجود دارد:

 

HKEY-CURRENT USER\software\microsoft\windows\current version\run “{8DF9EE17-84FF-E9C9-901F-18FC59A5DB1E}”=%userprofile%\application data\[random]\[random].exe/r

 

تروجان ها کد های خود را در بسیاری از فرآیند های تصادفی تزریق می کند و تلاش می کند تا به هاست های مخرب زیر وصل شوند:

 

لینک ها تنها برای اعضای سایت قابل نمایش است.

لینک ها تنها برای اعضای سایت قابل نمایش است.

لینک ها تنها برای اعضای سایت قابل نمایش است.

• Somesytems.cc

• www-protection.su

• estore-main.su

• strong-services.su

• wprotections.su

• wguards.su

 

البته URL های اشاره شده در فوق، ممکن است بسته به مکان های جغرافیایی که متن های مخرب در آن اجرا شده است، تغییر یابند. سپس بد افزار برخی از اطلاعات رمز گذاری شده سیستم را به سایت های فوق ارسال می کند.

 

راه های جلوگیری از آلوده شدن به بدافزار پنهان گر:

 

1 . هیچ گاه ضمیمه ایمیل هایی که از اشخاص ناشناس دریافت می کنید را باز نکنید.

 

2 . حتما دسترسی به url های ذکر شده را در کامپیوتر خود مسدود کنید.

 

3 . حتما ویندوز خود را update کنید.

 

4 . از آنتی ویروس های به روز شده یا معتبر استفاده نمایید.

 

5 . از vpn غیر مجاز و غیر قابل اعتماد استفاده نکنید.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

بایگانی شده

این موضوع بایگانی و قفل شده و دیگر امکان ارسال پاسخ نیست.

مهمان
این موضوع برای عدم ارسال قفل گردیده است.
×
×
  • اضافه کردن...