Logo search ورود عضویت
روش‌های مقابله با ویروس پنهان‌کننده فایل‌ها
ارسال شده توسط avenjers71 5 سال پیش
⚠️ گزارش تخلف

روش‌های مقابله با ویروس پنهان‌کننده فایل‌ها



BackDoor-FHI بدافزار یا ویروسی است که اخیرا بسیار شایع شده, ویژگی خاص آن پنهان کردن فایل‌ها و پوشه‌ها در فلش و هاردهای اکسترنال شماست. مساله‌ای که البته راه‌حل‌هایی هم دارد.

 

به تازگی بدافزاری شیوع پیدا کرده که باعث پنهان شدن برخی از فایل‌ها و پوشه‌های حافظه‌های قابل حمل (از قبیل فلش، هارد اکسترنال و ...) می‌گردد. این تروجان که BackDoor-FHI نام دارد و همینطور بدافزارهایی با عملکرد مشابه نیز که در گذشته شناسایی شده‌اند، همچنین قادر به آلوده سازی منابع مشترک شبکه است. آلودگی هنگامی رخ می دهد که فایل اصلی بدافزار اجرا شود که معمولاً shortcut جعلی از فایل ها و پوشه های موجود در حافظه است.

 

BackDoor-FHI چگونه منتشر می شود؟

این بدافزار از روش‌های متفاوتی برای انتشار خود استفاده می‌کند که از آن جمله می‌توان به انتشار از طریق ایمیل، صفحات وب آلوده و هک شده، اشاره کرد. به محض اجرای فایل اصلی بدافزار، این تروجان خود را در مسیر  %UserProfile%\Application Data\[random]\[random].exe قرار می دهد و سپس چند کپی از خود را در محل های مختلفی همچون vagefile.sys[malware data file] - desktopfini[malware data file] - thLmbs.db، reYdme.tat[malware data file] - readme.tat[malware data file] -  ReChCLE.BIN[malware data file] قرار می دهد.

 

همچنین فایل‌های lnk که نامشان را از فایل های موجود در حافظه سیستم گرفته است، ایجاد می شوند. این کار پس از پنهان کردن فایل‌های اصلی صورت می گیرد. پسوندهای مورد توجه این بدافزار که اقدام به ایجاد shortcut از آنها و سپس پنهان کردن فایل اصلی می کند عبارتند از ، xls،   doc،   mp۳، ppt، dl و  db است.

تروجان سپس کد خود را در چند پروسس تصادفی inject کرده، سعی در برقراری ارتباط با host های آلوده می‌کند. ضمن اینکه URL های ذکر شده می تواند بر حسب نقاط جغرافیایی مختلف تغییر کند.  

علائم آلودگی به بدافزار BackDoor-FHL

اگر یک فایل یا پوشه با نام یکسان، در همان مکان ایجاد و فایل اصلی hidden شده باشد یا اگر فایل یا پوشه هم نام با فایل shortcut موجود باشد و hidden نشده باشد؛ به نظر می رسد که این فایل‌های shortcut به منظور هدایت کاربر به سمت بدافزار ایجاد شده اند. همچنین اگر فایل یا پوشه ای با نامی غیر از فایل shortcut باشد، امکان آن وجود دارد که shortcut آلوده باشد. در نهایت اگر کلید رجیستری زیر وجود داشته باشد، احتمال آلودگی وجود دارد.

HKEY_CURRENT_USER\Software\Microsoft\\Windows\CurrentVersion\Run"{۸DF۹EE۱۷-۸۴FF-E۹C۹-۹۰۱F-۱۸FC۵۹A۵DB۱E}" =%UserProfile%\Application Data \ [Random][random].exe /r 

👁️ بازدید: 2.2k🔎 ورودی گوگل: 0

نظرات (0)

    برای ارسال نظر وارد حساب کاربری خود شوید.

    به یوزبیت؛ خانه محتوا خوش آمدید

    یوزبیت، به نویسندگان مستقل این امکان را می‌دهد که رایگان تولید محتوا کنند و با کمک هوش مصنوعی، محتوای خود را به صورت مؤثر به مخاطبان نمایش دهند.

    Your Ad Banner

    سایر مقالات نویسنده

    جدیدترین مقالات

    logo-samandehi

    دانلود اپلیکیشن اندروید

    درباره ما . راهنما . اطلاعیه‌ها . آپدیت‌ها . قوانین . ارتباط با ما

    کلیه حقوق این سایت برای یوزبیت محفوظ می‌باشد.