تبلیغات

خطرناک‌ترين بدافزارها، جديدترين بدافزارها هستند چرا که هنوز آنتي‌ويروس‌ها آن‌ها را شناسايي نکرده‌اند و رايانه‌ها در مقابل آن‌ها آسيب‌پذير مي‌باشند.

کسری پاک نیت در شماره این هفته مجله بایت، به بررسی این بدافزار پرداخته است.

بنا به گزارش آزمايشگاه امنيتي مايکروسافت، بدافزار Win32/Alureon.H در حال‌ حاضر يکي از جديدترين و خطرناک‌ترين بدافزار‌هاي شايع در جهان رايانه‌هاست.

نسخه مشابهي از همين بدافزار براي سيستم‌عامل‌هاي مکينتاش شايع شده است و اين بدافزار منحصر به ويندوز نيست اما کاربران ويندوز، قربانيان اصلي اين بدافزار هستند.

اين بدافزار عضوي از خانواده Win32/Alureon يا Zlob است که به‌تازگي در طي چند روز گذشته به‌روزرساني شده است و هنوز بيشتر آنتي‌ويروس‌ها قادر به شناسايي آن نيستند.

اين بدافزار مانند يک تروجان‌دانلودر عمل مي‌کند و مي‌تواند شرايط را براي ورود بدافزار‌هاي ديگر و آسيب‌پذيرتر کردن سيستم‌عامل ويندوز آماده کند.

اين بدافزار علائم خاصي دارد که کاربر با شناسايي اين علائم مي‌تواند به وجود اين بدافزار در رايانه پي ببرد.

تغيير DNS يا Domain name System رايانه، يکي از عمومي‌ترين فعاليت‌هايي است که تمام اعضاي اين خانواده از بدافزار انجام مي‌دهند.

تغيير DNS رايانه منتهي به هدايت کاربر به سايت‌هاي ناخواسته مي‌شود. علاوه بر اين‌که تمامي اين سايت‌ها‌ حاوي بدافزار‌هايي ديگري هستند که ممکن است رايانه را آلوده‌تر کنند.

در صورتي‌که رايانه عضوي از يک شبکه باشد، بدافزار پس از انتقال يافتن از طريق راه‌هاي موجود به رايانه‌هاي ديگر، در شبکه نيز اختلالاتي ايجاد مي‌کند.

اين بدافزار دائما مرورگر را باز مي‌کند و صفحات تبليغاتي نمايش مي‌دهد.

معمولا بنر‌هاي صفحات تبليغاتي که به‌وسيله اين بدافزار نمايش داده مي‌شوند، به بدافزار‌هاي ديگر منتهي مي‌شوند.

اين بدافزار، درايور سخت‌افزار‌هاي نصب شده روي رايانه را هدف قرار مي‌دهد و دستکاري آن‌ها ممکن است برخي از قطعات سخت‌افزاري رايانه را از کار بيندازد.

در اثر اين بدافزار حتي ممکن است رايانه در محيط ويندوز ديگر قادر به شناسايي هاردديسک نباشد و بديهي است که اين اتفاق مانع از بوت شدن سيستم‌عامل خواهد شد.

اختلالات گرافيکي و تغيير تنظيمات کارت‌گرافيک رايانه نيز يکي ديگر از نتايج تغيير درايور‌هاي سيستم است.

اين بدافزار با اجراي برنامه کوچکي به نام atnvrsinstall.exe يک سپر قرمزرنگ دقيقا شبيه به سيستم امنيتي مايکروسافت در System Tray ويندوز ايجاد کرده و راهنمايي‌هاي نادرستي به کاربر ارائه مي‌کند. علاوه بر اين فايروال ويندوز و به‌روز رساني ويندوز نيز Disable مي‌شود.

به‌طور کلي همه اعضاي اين خانواده، سارق اطلاعات محسوب مي‌شوند.

شايد همه فعاليت‌هاي ظاهري و اشکالات فني حاصل از حضور اين بدافزار در رايانه بسيار ناخوشايند باشد اما بزرگ‌ترين آسيبي که ممکن است از اين چنين بدافزاري ببينيد اين است که اطلاعات شما را به سرقت ببرد.

مهم‌ترين هدف اين بدافزار به سرقت بردن اطلاعات بانکي کاربر است اما ممکن است که اطلاعات پست الکترونيک و ديگر نام‌هاي کاربري شما نيز توسط اين بدافزار سرقت شود.

کليد‌هاي رجيستري زير باعث مي‌شود که اين بدافزار با تغيير نام DNS رايانه کاربر بتواند مسير‌هاي مرورگر را شناسايي و کنترل کند.

* Modify registry value:

“DhcpNameServer” Under subkey:

HKLMSystemCurrentControlSetServicesTcpipParameters

* Modify registry values:

“NameServer” “DhcpNameServer”

under certain subkeys of the

subkey:

HKLMSYSTEM

CurrentControlSetServicesTcpipParametersInterfaces

مقاديري که به اين کليد‌ها اختصاص داده مي‌شود دو IP مختلف است.

گاهي در بعضي از رايانه‌هاي ايمن‌تر که بدافزار قادر به تغيير DNS نيست، همين تنظيمات در تنظيمات پروکسي مرورگر اعمال مي‌شود.

معمولا بزرگ‌ترين قرباني اين‌چنين حملاتي کاربران مرورگر IE هستند چرا که تنظيمات اين مرورگر با تنظيمات اتصالات سيستم‌عامل ويندوز گره خورده است.

اين بدافزار از طريق فلش‌مموري منتقل نمي‌شود و مي‌توان با استفاده از Task Manager آن‌را از فهرست پردازش‌ها حذف کرد اگرچه اين‌کار فايده چنداني ندارد چرا که تا زماني که اين بدافزار در فهرست سرويس‌هاي مقيم در حافظه وجود داشته باشد، بدافزار همچنان به کار خود ادامه خواهد داد.

نظر خود را بنویسید

لطفا نظر خود را بنویسید
لطفا نام خود را وارد کنید