تاريخ:هفدهم بهمن 1394 ساعت 09:49
کد : 4184

بدافزار های پنهان گر(backdoor-FHI)

بدافزار های پنهان گر(backdoor-FHI)
همچنین این بدافزار با بازکردن یک درب پشتی و اضافه کردن فایل های مخرب، برای حمله کننده امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند.
ایران هشدار - بر طبق اطلاع رسانی سایت McAfee، که یکی از بزرگترین سایت های امنیتی دنیاست، این بد افزار که برای بازیابی فایل ها و فولدر های پنهان شده مورد استفاده قرار می گیرد، قادر به آلوده سازی منابع مشترک شبکه می باشد. هنگامی که فایل اصلی بدافزار که غالبا یک shortcut تقلبی از فولدر های موجود در حافظه است، اجرا شود، عمل آلوده کردن صورت می گیرد.

همچنین این بدافزار با بازکردن یک درب پشتی و اضافه کردن فایل های مخرب، برای حمله کننده امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. این بدافزارها اغلب به طور دستی گسترش یافته اند ( کاربری به طور نا آگاهانه آن بد افزار را به صورت دستی اجرا می کند). اما مهم ترین راه نصب این بدافزار شامل سوء استفاده یا استثمار سیستم یا سیستم امنیتی است. کانال های پخش این بد افزار شامل email ، صفحات و سایت های تقلبی و کلاهبرداری، صفحات هک شده، شبکه های peer to peer ، و ... می باشد.
 
Backdoor ها اغلب از طریق ضمیمه های ایمیل به کامپیوتر راه می یابند اما گاهی از طریق دانلود و اجرای برخی نرم افزارها که در آن ها فایل آلوده وجود دارد، و یا از طریق نرم افزارهای third party به کامپیوتر ها راه می یابند.

در حالت اجرا، تروجان خود را وارد مسیر زیر می کند و وارد کامپیوتر می شود:

%userprofile%\application data\[random]\[random].exe
و سپس چند کپی از خود را در محل های مختلف قرار می دهد و فایل هایی که نامشان را از فایل های موجود در حافظه سیستم گرفته اند، ایجاد می شوند و این کار پس از پنهان کردن فایل های اصلی صورت می گیرد. پسوند های مورد توجه این بدافزار که از آنها shortcut تهیه می کند و آن ها را پنهان می کند به صورت زیر است:

Xld,doc,mp3,ppt,dll,db

علائمی که با توجه به آن متوجه می شویم سیستم آلوده به بد افزار backdoor-FHL است :

1 . اگر فایل یا فولدر هم نام در مکان مشابه وجود دارد که به صورت hidden است، احتمالا توسط بدافزار ایجاد شده که فایل اصلی را تبدیل به hidden کرده است.

2 . اگر فایل یا پوشه همنام با فایل shortcut هم نام وجود دارد که به صورت hidden نیست، احتمالا shortcut ، همان بد افزار است.

3 . اگر فایل یا فولدری با نامی غیر از فایل shortcut باشد، امکان آن وجود دارد که shortcut آلوده باشد.

همچنین در صورت آلودگی به این بدافزار، احتمالا کلید رجیستری زیر وجود دارد:

HKEY-CURRENT USER\software\microsoft\windows\current version\run “{8DF9EE17-84FF-E9C9-901F-18FC59A5DB1E}”=%userprofile%\application data\[random]\[random].exe/r

تروجان ها کد های خود را در بسیاری از فرآیند های تصادفی تزریق می کند و تلاش می کند تا به هاست های مخرب زیر وصل شوند:

• www.guard.su
• www.protection.su
• www.e-statics.su
• Somesytems.cc
• www-protection.su
• estore-main.su
• strong-services.su
• wprotections.su
• wguards.su

البته URL های اشاره شده در فوق، ممکن است بسته به مکان های جغرافیایی که متن های مخرب در آن اجرا شده است، تغییر یابند. سپس بد افزار برخی از اطلاعات رمز گذاری شده سیستم را به سایت های فوق ارسال می کند.

راه های جلوگیری از آلوده شدن به بدافزار پنهان گر:

1 . هیچ گاه ضمیمه ایمیل هایی که از اشخاص ناشناس دریافت می کنید را باز نکنید.

2 . حتما دسترسی به url های ذکر شده را در کامپیوتر خود مسدود کنید.

3 . حتما ویندوز خود را update کنید.

4 . از آنتی ویروس های به روز شده یا معتبر استفاده نمایید.

5 . از vpn غیر مجاز و غیر قابل اعتماد استفاده نکنید.

 
 

http://www.iranhoshdar.ir/Newsb/1/4184
آدرس ايميل شما:  
آدرس ايميل دريافت کنندگان  
 


 

سامانه پیامکی ۳۰۰۰۶۰۸۲سامانه استعلام شرکت های هرمی و بازاریابی شبکه ای

ایران هشدار

درباره ما

تماس با ما

ایمیل

آپارات

دسترسی ها

کلاهبرداری ارتباطی

قمار و شرط بندی

هشدارها

مطالب برگزیده

قوانین و مقررات

اینفوگرافیک

مصاحبه

لینک های مرتبط

اطلاع رسانی فروش مستقیم

اینماد

پلیس فتا

مرکز توسعه تجارت الکترونیکی

اتحادیه کشوری کسب و کارهای اینترنتی

مرکز ملی فضای مجازی