تبلیغات
مجله خبری تحلیلی پارس - معرفی بدافزار VBObfus.ct

شما عزیزان برای دیدن وبلاگ جدید من می توانید به این آدرس مراجعه نمائید : www.haghighatjoo.ir

معرفی بدافزار VBObfus.ct

نوشته شده توسط سردبیر سه شنبه 1390/12/23 نظرات بازدید
بدافزار "VBObfus.ct" برای اولین بار شهریور ماه سال ۱۳۸۹ در ایران مشاهده شد و تا الان نمونه های متفاوتی از اون منتشر شده.
ویروسی با درجه خطر کم که عملکردی شبیه به “اسب تروا” (Trojan) رو داره و پس از آلوده کردن دستگاه می تونه به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده بشه.
البته در حال حاضر بیشترین آلودگی ها در برزیل و مکزیک مشاهده شده ، اما انتشار این ویروس در ایران نیز قابل توجه هست.


اسب های تروا برنامه هایی هستند که به عنوان یک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دیر یا زود گریبانش را می گیرد.

انتشار ویروس VBObfus.ct نیز همانند سایر اسب های تروا با دریافت آن از اینترنت و اجرا بر روی دستگاه صورت می گیرد. هرزنامه هایی که سعی می کنند کاربر را تشویق به دریافت این اسب تروا کنند از تکنیک هایی چون کانال های IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری استفاده می کنند که همگی بسترهای مناسبی برای انتشار این اسب تروا هستند.

این ویروس با نام های زیر توسط آنتی ویروس های مختلف شناسایی می شود:

McAfee            VBObfus.ct!A3C02AC944F4
avast               Win32:Injector-AHU
AVG (GriSoft)   Worm/Generic2.BHCL
avira                Worm/Vobfus.plam
Kaspersky        Trojan.Win32.VB.bacy
BitDefender     Trojan.VB.Autorun.BF
Microsoft         Worm:Win32/Vobfus.gen!P
Symantec        W32.Changeup!gen15
norman            W32/Autorun.BPOU
panda              Generic Malware
Sophos             Mal/VBCheMan-B


روش کار این بدافزار به این صورت هست که با آلوده شدن دستگاه به ویروس VBObfus.ct پروسه آلوده زیر در مسیر پروفایل کاربر قرار می گیره:

%USERPROFILE%\seaih.exe


بعد با تغییر مدخل زیر در محضر خانه ی سیستم این پروسه به صورت AutoRun در اومده و با هر بار راه اندازی مجدد سیستم اجرا می شه:

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\SEAIH = %USERPROFILE%\seaih.exe /m


نمونه های دیگر این ویروس نیز پروسه هایی با نام های تصادفی و بی معنی را در مسیر پروفایل کاربران قرار میده و اون رو به صورت AutoRun در میاره که من بعضی از این پروسه ها رو در زیر آوردم:

%USERPROFILE%\cafoy.exe
%USERPROFILE%\ksjat.exe
%USERPROFILE%\daoos.exe


از خرابکاری های ویروس VBObfus.ct می توان به تغییر تنظیمات کلی و پیشرفته مرورگر IE اشاره کرد.
از جمله این تغییرات مخفی شدن پسوند فایل ها است که باعث می شه فایل های اجرایی به صورت اسناد نمایش داده بشن و کاربر با اجرای آن ها باعث اجرای برنامه مخرب می شود.

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\SHOWSUPERHIDDEN = 0


همچنین این ویروس با تغییر مدخل زیر باعث تغییر تنظیمات پیش فرض WindowsUpdate شده و به روز رسانی اتوماتیک ویندوز را غیر فعال می کند.

HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU\NOAUTOUPDATE = 1


از دیگر آسیب های ویروس VBObfus.ct اینه که در صورت اتصال حافظه های قابل حمل و دیسک های USB به سیستم آلوده، تمامی پوشه ها و اطلاعات موجود روی آن بصورت مخفی در میاد و فایل های اجرایی مخرب همنام با نام پوشه ها و فایل های مخفی شده بر روی حافظه جانبی می سازه.

در صورتی که کاربر این حافظه جانبی را به سیستم دیگری متصل کنه با دیدن نام آشنای فایل ها گول خورده و به خیال خود برای باز کردن اطلاعات به اشتباه باعث اجرای فایل مخرب ویروس شده و سیستم را آلوده می کنه.
همچنین ویروس تلاش می کنه با نشانی های زیر ارتباط برقرار کنه:

8003:***.225.225.225
8003:***.148.170.178

- پیشگیری


به روز نگه داشتن ضدویروس، نصب آخرین اصلاحیه های سیستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کلیک بر روی لینک های ناآشنا و عدم اجرای فایل های مشکوک بر روی حافظه های جانبی، همگی می تونن خطر آلوده شدن به این ویـروس و یـا گونه های مشابه را به حداقل برسونن.





  • انعکاس آخرین اخبار و ارائه جدیدترین مقالات با محوریت ارتباطات و فناوری اطلاعات.