تلکس دولت بهار :: هواداران دكتر محمود احمدي نژاد: روش‌هاي مقابله با ويروس پنهان‌كننده فايل‌ها
پنجشنبه، 16 آذر 1396 - 22:07     کد خبر: 454476

دولت بهار: BackDoor-FHI بدافزار يا ويروسي است كه اخيرا بسيار شايع شده, ويژگي خاص آن پنهان كردن فايل‌ها و پوشه‌ها در فلش و هاردهاي اكسترنال شماست. مساله‌اي كه البته راه‌حل‌هايي هم دارد.

ايسنا نوشت: به تازگي بدافزاري شيوع پيدا كرده كه باعث پنهان شدن برخي از فايل‌ها و پوشه‌هاي حافظه‌هاي قابل حمل (از قبيل فلش، هارد اكسترنال و ...) مي‌گردد. اين تروجان كه BackDoor-FHI نام دارد و همينطور بدافزارهايي با عملكرد مشابه نيز كه در گذشته شناسايي شده‌اند، همچنين قادر به آلوده سازي منابع مشترك شبكه است. آلودگي هنگامي رخ مي دهد كه فايل اصلي بدافزار اجرا شود كه معمولاً shortcut جعلي از فايل ها و پوشه هاي موجود در حافظه است.

BackDoor-FHI چگونه منتشر مي شود؟

اين بدافزار از روش‌هاي متفاوتي براي انتشار خود استفاده مي‌كند كه از آن جمله مي‌توان به انتشار از طريق ايميل، صفحات وب آلوده و هك شده، اشاره كرد. به محض اجراي فايل اصلي بدافزار، اين تروجان خود را در مسير %UserProfile%Application Data[random][random].exe قرار مي دهد و سپس چند كپي از خود را در محل هاي مختلفي همچون vagefile.sys[malware data file] - desktopfini[malware data file] - thLmbs.db، reYdme.tat[malware data file] - readme.tat[malware data file] - ReChCLE.BIN[malware data file] قرار مي دهد.

همچنين فايل‌هاي lnk كه نامشان را از فايل هاي موجود در حافظه سيستم گرفته است، ايجاد مي شوند. اين كار پس از پنهان كردن فايل‌هاي اصلي صورت مي گيرد. پسوندهاي مورد توجه اين بدافزار كه اقدام به ايجاد shortcut از آنها و سپس پنهان كردن فايل اصلي مي كند عبارتند از ، xls، doc، mp۳، ppt، dl و db است.

تروجان سپس كد خود را در چند پروسس تصادفي inject كرده، سعي در برقراري ارتباط با host هاي آلوده مي‌كند. ضمن اينكه URL هاي ذكر شده مي تواند بر حسب نقاط جغرافيايي مختلف تغيير كند.

علائم آلودگي به بدافزار BackDoor-FHL

اگر يك فايل يا پوشه با نام يكسان، در همان مكان ايجاد و فايل اصلي hidden شده باشد يا اگر فايل يا پوشه هم نام با فايل shortcut موجود باشد و hidden نشده باشد؛ به نظر مي رسد كه اين فايل‌هاي shortcut به منظور هدايت كاربر به سمت بدافزار ايجاد شده اند. همچنين اگر فايل يا پوشه اي با نامي غير از فايل shortcut باشد، امكان آن وجود دارد كه shortcut آلوده باشد. در نهايت اگر كليد رجيستري زير وجود داشته باشد، احتمال آلودگي وجود دارد.

HKEY_CURRENT_USERSoftwareMicrosoft\WindowsCurrentVersionRun"{۸DF۹EE۱۷-۸۴FF-E۹C۹-۹۰۱F-۱۸FC۵۹A۵DB۱E}" =%UserProfile%Application Data [Random][random].exe /r

روش‌هاي جلوگيري از آلوده شدن به بدافزار BackDoor-FHL

مركز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي روش هاي موثر و تاييد شده براي جلوگيري از آلوده شدن به اين بدافزار را يكي احتياط در باز كردن ايميل هاي ناشناس و لينك هاي ناشناخته معرفي مي كند. همچنين به‌روزرساني ويندوز و وصله‌هاي برنامه‌هاي كاربردي و آنتي ويروس ها و اعمال قوانين فيلترينگ مناسب و يا مسدود كردن دسترسي شبكه به URL هاي ذكر شده هم مي تواند در اين زمينه موثر باشد.

ضمن اينكه با فعال كردن Access Protection و تنظيم قوانين به نحوي كه از تغيير ناخواسته attributes فايل ها و فولدرها جلوگيري شود هم از شيوه هاي موثر براي مقابله با اين بدافزار است.

راهكار نمايش فايل‌هاي پنهان شده

در صورت آلودگي به اين بدافزار، با آنكه خود بدافزار توسط تمامي آنتي ويروس‌هاي معتبر شناخته و پاك مي‌شود ولي نشانه هاي آن باقي مي ماند، يعني بسياري از فايلهاي شما پنهان مي مانند و استفاده از لبه view منوي folder option نيز كار زمان بري است. اما مي توانيد براي اصلاح فايل هاي خود، از اين دستور ذيل استفاده كنيد.

ابتدا برنامه command prompt را از بخش Accesories منوي استارت اجرا كنيد؛ سپس عبارت روبرو را تايپ كنيد: attrib -s -h -r "c:*" /S /D در نهايت توجه داشته باشيد كه بايد به جاي عبارت c: مسيري كه قصد غيرفعال كردن فايلهاي پنهان آن را داريد، وارد كنيد.


برگشت به تلکس خبرها