فا

‫ راهنماي بازيابي فايل ها و فولدرهاي پنهان شده توسط بدافزارهاي پنهان گر

مقدمه:
به تازگي بدافزاري شيوع پيدا كرده است كه باعث پنهان شدن برخي از فايل ها و پوشه هاي حافظه هاي قابل حمل (از قبيل فلش ها، هارد اكسترنال و ...) مي گردد. اين تروجان كه BackDoor-FHI نام دارد (بدافزارهايي با عملكرد مشابه نيز در گذشته شناسايي شده اند)، همچنين قادر به آلوده سازي منابع مشترك شبكه مي باشد. آلودگي هنگامي رخ مي دهد كه فايل اصلي بدافزار اجرا شود كه معمولاً shortcut جعلي از فايل ها و پوشه هاي موجود در حافظه است. اين بدافزار از روش هاي متفاوتي براي انتشار خود استفاده مي كند كه از آن جمله مي توان به انتشار از طريق e-mail، صفحات وب آلوده و هك شده، شبكه هاي peer-to-peer و IRC ها اشاره كرد.
نحوه عملكرد:
به محض اجراي فايل اصلي بدافزار، اين تروجان خود را در مسير زير قرار مي دهد.
· %UserProfile%\Application Data\[random]\[random].exe
سپس چند كپي از خود را در محل هاي مختلف قرار مي دهد.
· $ReChCLE.BIN[malware data file]
· readme.tat[malware data file]
· reYdme.tat[malware data file]
· thLmbs.db
· desktopfini[malware data file]
· vagefile.sys[malware data file]
همچنين فايل هاي lnk كه نامشان را از فايل هاي موجود در حافظه سيستم گرفته است، ايجاد مي شوند. اين كار پس از پنهان نمودن فايل هاي اصلي صورت مي گيرد.
پسوندهاي مورد توجه اين بدافزار كه اقدام به ايجاد shortcut از آنها و سپس پنهان نمودن فايل اصلي مي كند عبارتند از:
· xls
· doc
· mp3
· ppt
· dll
· db
تروجان سپس كد خود را در چند پروسس تصادفي inject كرده، سعي در برقراري ارتباط با host هاي آلوده زير مي نمايد. (URL هاي ذكر شده مي تواند بر حسب نقاط جغرافيايي مختلف تغيير كند).
· www.guard.su
· www.protection.su
· www.e-statics.cc
· somesytems.cc
· www-protection.su
· estore-main.su
· strong-services.su
· wprotections.su
· wguards.su
علائم آلودگي به بدافزار BackDoor-FHL
موارد زير نشان دهنده نشان دهنده آلودگي به اين بدافزار است:
· اگر يك فايل يا پوشه با نام يكسان، در همان مكان ايجاد و فايل اصلي hidden شده باشد.
· اگر فايل يا پوشه هم نام با فايل shortcut موجود باشد و hidden نشده باشد. به نظر مي رسد كه اين فايل هاي shortcut به منظور هدايت كاربر به سمت بدافزار ايجاد شده اند.
· اگر فايل يا پوشه اي با نامي غير از فايل shortcut باشد، امكان آن وجود دارد كه shortcut آلوده باشد.
· اگر كليد رجيستري زير وجود داشته باشد، احتمال آلودگي وجود دارد
HKEY_CURRENT_USER\Software\Microsoft\\Windows\CurrentVersion\Run"{8DF9EE17-84FF-E9C9-901F-18FC59A5DB1E}" =%UserProfile%\Application Data \ [Random] \[random].exe /r
روش هاي جلوگيري از آلوده شدن به اين بدافزار:
· احتياط در باز كردن ايميل هاي ناشناس و لينك هاي ناشناخته
· بروزرساني ويندوز و وصله هاي برنامه هاي كاربردي و آنتي ويروس ها و اعمال قوانين فيلترينگ مناسب
· مسدود كردن دسترسي شبكه به URL هاي ذكر شده
· فعال كردن Access Protection و تنظيم قوانين به نحوي كه از تغيير ناخواسته attributes فايل ها و فولدرها جلوگيري شود.
راهكار نمايش فايل هاي پنهان
در صورت آلودگي به اين بدافزار، با آنكه خود بدافزار توسط تمامي آنتي ويروس هاي معتبر شناخته و پاك مي شود ولي نشانه هاي آن باقي مي ماند، يعني بسياري از فايلهاي شما پنهان مي مانند و استفاده از لبه view منوي folder option نيز كار زمان بري مي باشد. لذا مي توانيد براي اصلاح فايل هاي خود، از دستور ذيل استفاده كنيد.
1. ابتدا برنامه command prompt را از بخش Accesories منوي استارت اجرا نماييد.
2. سپس عبارت روبرو را تايپ نماييد: attrib -s -h -r "c:\*" /s /d
3. توجه داشته باشيد كه مي بايست به جاي عبارت c:\ مسيري كه قصد غيرفعال نمودن فايلهاي پنهان آن را داريد، وارد نماييد. مثلا اگر قصد داريد فايلهاي پوشه test كه در درايو d قرار دارند را از حالت پنهان خارج سازيد، مي بايست دستور زير را وارد كنيد.
attrib -s -h -r “d:\test\*” /s /d

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 25 مرداد 1393

امتیاز

امتیاز شما
تعداد امتیازها: 0