[[{"content_id":432274,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"بد افزار های پنهان گر(backdoor-FHI)","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"بر طبق اطلاع رسانی McAfee، که یکی از بزرگترین سایت های امنیتی دنیاست،  این بد افزار که برای بازیابی فایل ها و فولدر های پنهان شده مورد استفاده قرار می گیرد، قادر به آلوده سازی منابع مشترک شبکه می باشد. هنگامی که فایل اصلی بدافزار که غالبا یک shortcut تقلبی از فولدر های موجود در حافظه است، اجرا شود، عمل آلوده کردن صورت می گیرد. همچنین این بدافزار با بازکردن یک درب پشتی و اضافه کردن فایل های مخرب، برای حمله کننده امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. \r\n\r\n\r\n\r\nاین بدافزارها اغلب به طور دستی گسترش یافته اند ( کاربری به طور نا آگاهانه آن بد افزار را به صورت دستی اجرا می کند). اما مهم ترین راه نصب این بدافزار شامل سوء استفاده یا استثمار سیستم یا سیستم امنیتی است. کانال های پخش این بد افزار شامل email ، صفحات و سایت های تقلبی و کلاهبرداری، صفحات هک شده، شبکه های peer to peer ، و ... می باشد..\r\n\r\nBackdoor ها اغلب از طریق ضمیمه های ایمیل به کامپیوتر راه می یابند اما گاهی از طریق دانلود برخی نرم افزارها که در آن ها فایل آلوده وجود دارد، و اجرای آن و یا از طریق نرم افزارهای third party به کامپیوتر ها راه می یابند.\r\n\r\nدر حالت اجرا، تروجان خود را وارد مسیر زیر می کند و وارد کامپیوتر می شود:\r\n%userprofile%\\application data\\[random]\\[random].exe\r\nو سپس چند کپی از خود را در محل های مختلف قرار می دهد و فایل هایی که نامشان را از فایل های موجود در حافظه سیستم گرفته اند، ایجاد می شوند و این کار پس از پنهان کردن فایل های اصلی صورت می گیرد. پسوند های مورد توجه این بدافزار که این بدافزار از آنها shortcut تهیه می کند و آن ها را پنهان می کند به صورت زیر است:\r\nXld,doc,mp3,ppt,dll,db\r\nعلائمی که با توجه به آن متوجه می شویم سیستم آلوده به بد افزار backdoor-FHL است : \r\n\r\n1 . اگر فایل یا فولدر هم نام در مکان مشابه وجود دارد که به صورت hidden است، احتمالا توسط بدافزار ایجاد شده که فایل اصلی را تبدیل به hidden کرده است.\r\n2 . اگر فایل یا پوشه همنام با فایل shortcut هم نام وجود دارد که به صورت hidden نیست، احتمالا shortcut ، همان بد افزار است.\r\n3 . اگر فایل یا فولدری با نامی غیر از فایل shortcut باشد، امکان آن وجود دارد که shortcut آلوده باشد.\r\n\r\nهمچنین در صورت آلودگی به این بدافزار، احتمالا کلید رجیستری زیر وجود دارد:\r\nHKEY-CURRENT USER\\software\\microsoft\\windows\\current version\\run “{8DF9EE17-84FF-E9C9-901F-18FC59A5DB1E}”=%userprofile%\\application data\\[random]\\[random].exe\/r\r\n \r\nتروجان ها کد های خود را در بسیاری از فرآیند های تصادفی تزریق می کند و تلاش می کند تا به هاست های مخرب زیر وصل شوند:\r\n\r\n\r\n\twww.guard.su\r\n\twww.protection.su\r\n\twww.e-statics.su\r\n\tSomesytems.cc\r\n\twww-protection.su\r\n\testore-main.su\r\n\tstrong-services.su\r\n\twprotections.su\r\n\twguards.su\r\n\r\n\r\n \r\nالبته URL های اشاره شده در فوق، ممکن است بسته به مکان های جغرافیایی که متن های مخرب در آن اجرا شده است، تغییر یابند. سپس بد افزار برخی از اطلاعات رمز گذاری شده سیستم را به سایت های فوق ارسال می کند.\r\n \r\nراه های جلوگیری از آلوده شدن به بدافزار پنهان گر:\r\n \r\n1 . هیچ گاه ضمیمه ایمیل هایی که از اشخاص ناشناس دریافت می کنید را باز نکنید.\r\n2 . حتما دسترسی به url های ذکر شده را در کامپیوتر خود مسدود کنید.\r\n3 . حتما ویندوز خود را update کنید.\r\n4 . از آنتی ویروس های به روز شده یا معتبر استفاده نمایید.\r\n5 . از vpn غیر مجاز و غیر قابل اعتماد استفاده نکنید.\r\n\r\n\r\n\r\n\r\nمنبع: \r\n ایران هشدار","content_html":"

بر طبق اطلاع رسانی McAfee، که یکی از بزرگترین سایت های امنیتی دنیاست،  این بد افزار که برای بازیابی فایل ها و فولدر های پنهان شده مورد استفاده قرار می گیرد، قادر به آلوده سازی منابع مشترک شبکه می باشد. هنگامی که فایل اصلی بدافزار که غالبا یک shortcut تقلبی از فولدر های موجود در حافظه است، اجرا شود، عمل آلوده کردن صورت می گیرد. همچنین این بدافزار با بازکردن یک درب پشتی و اضافه کردن فایل های مخرب، برای حمله کننده امکان دسترسی از راه دور و نفوذ به سیستم مورد حمله را فراهم می کند. <\/span><\/h1>\n\n
\n
\n
این بدافزارها اغلب به طور دستی گسترش یافته اند ( کاربری به طور نا آگاهانه آن بد افزار را به صورت دستی اجرا می کند). اما مهم ترین راه نصب این بدافزار شامل سوء استفاده یا استثمار سیستم یا سیستم امنیتی است. کانال های پخش این بد افزار شامل email <\/span>، صفحات و سایت های تقلبی و کلاهبرداری، صفحات هک شده، شبکه های peer to peer <\/span>، و ... می باشد.<\/span>.<\/span>

Backdoor<\/span><\/span> ها اغلب از طریق ضمیمه های ایمیل به کامپیوتر راه می یابند اما گاهی از طریق دانلود برخی نرم افزارها که در آن ها فایل آلوده وجود دارد، و اجرای آن و یا از طریق نرم افزارهای third party<\/span> به کامپیوتر ها راه می یابند.

\nدر حالت اجرا، تروجان خود را وارد مسیر زیر می کند و وارد کامپیوتر می شود:
%userprofile%\\application data\\[random]\\[random].exe<\/span>
\nو سپس چند کپی از خود را در محل های مختلف قرار می دهد و فایل هایی که نامشان را از فایل های موجود در حافظه سیستم گرفته اند، ایجاد می شوند و این کار پس از پنهان کردن فایل های اصلی صورت می گیرد. پسوند های مورد توجه این بدافزار که این بدافزار از آنها shortcut<\/span> تهیه می کند و آن ها را پنهان می کند به صورت زیر است:
Xld,doc,mp3,ppt,dll,db<\/span><\/span>
علائمی که با توجه به آن متوجه می شویم سیستم آلوده به بد افزار backdoor-FHL<\/span> است : <\/strong><\/span>

1 . اگر فایل یا فولدر هم نام در مکان مشابه وجود دارد که به صورت hidden<\/span> است، احتمالا توسط بدافزار ایجاد شده که فایل اصلی را تبدیل به hidden<\/span> کرده است.
\n2 . اگر فایل یا پوشه همنام با فایل shortcut<\/span> هم نام وجود دارد که به صورت hidden<\/span> نیست، احتمالا shortcut<\/span> ، همان بد افزار است.
\n3 . اگر فایل یا فولدری با نامی غیر از فایل shortcut<\/span> باشد، امکان آن وجود دارد که shortcut<\/span> آلوده باشد.<\/span>

همچنین در صورت آلودگی به این بدافزار، احتمالا کلید رجیستری زیر وجود دارد:<\/span>
HKEY-CURRENT USER\\software\\microsoft\\windows\\current version\\run “{8DF9EE17-84FF-E9C9-901F-18FC59A5DB1E}”=%userprofile%\\application data\\[random]\\[random].exe\/r<\/span>
\n <\/span>
تروجان ها کد های خود را در بسیاری از فرآیند های تصادفی تزریق می کند و تلاش می کند تا به هاست های مخرب زیر وصل شوند:<\/span><\/div>\n\n