شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.Fareit
Trojan-PSW.Win32.Fareit
درجه تخریب: زیاد
میزان شیوع: زیاد
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند، اما هنگامیکه اجرا میشوند خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راههای ورود تروجانها میباشند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار Fareit چیست؟
Fareit تروجانی است که بهمنظور به سرقت بردن اطلاعات کاربر ازجمله کلمات عبور وبسایتها و توزیع انواع مختلفی از دیگر بدافزارها مورداستفاده قرارگرفته است. Fareit تاریخچه قابلتوجهی در خصوص توزیع بدافزار دارد و عمدتاً یک سارق اطلاعات و دانلودکننده بدافزار است.
این بدافزار در تلاش برای به سرقت بردن کلمات عبور ذخیرهشده وبسایتها از طریق مرورگرهایی مانند Chrome، Firefox، Expolere Internet و Opera است. همچنین در تلاش برای به سرقت بردن اطلاعات حسابهای کاربری مانند نام سرورها، شماره پورتها، شناسهها و کلمات عبور از کلاینتهای FTP لیست شده در زیر و یا از طریق برنامههای ذخیرهسازی cloud است.
توضیحات فنی
علائم آلودگی به بدافزار Fareit:
در اکثر موارد رصد شده بدافزار Fareit بوسیله VisualBasic نوشته شده است.
بدافزار Fareit که از طریق ایمیلهای جعلی در حال انتشار است بهمحض اجرا پردازه دیگری با نام خودش میسازد و در پردازه جدید شروع به نوشتن میکندکه این پردازه به سرقت اطلاعات کاربران میپردازد.
در واقع پردازه اول تنها عملکردی که دارد ساختن پردازه دوم است.
در بعضی از نمونه های این ،فایل bat ای در مسیر %temp% میسازد و با اجرای این فایل Bat، فایل اصلی بدافزار پس از اجرای بدافزار، از سیستم پاک میشود و سپس فایل bat اقدام به پاک کردن فایل خود میکند.
در انواعی که فایل بدافزار از روی سیستم پاک نشود در مسیر رجیستری زیر برای خود بقا تنظیم میکند.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
برخی از نمونههای Fareit اقدام به دانلود فایلهای دیگر، ذخیره آنها در مسیر %temp% و سپس اجرای آنها مینمایند.
در برخی از نمونههای Fareit اطلاعات uninstallstring, displayname کلیه کلیدهای رجیستری HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall را برای آدرس http://aseforum.ro میفرستد. (این اطلاعات بهمنظور اطلاع پیدا کردن از برنامههای نصبشده در سیستم قربانی است.)
سپس برای دانلود فایلهای اجرایی به سایتهای http://www.rueba.com/eXkdB.exe و http://cancunie.com/fbJAXM9s.exe و http://nikosst.com/yttur.exe متصل شده و این فایلها را اجرا میکند.
سپس با استفاده از سه کلمه عبور “SUPPORT_388945a0” و “HelpAssistant”, “Guest” کاربرهایی با این نام را روی local-computer فعال کرده و خود را بجای این کاربران جا میزند و فایلهای دانلود شده را در محیط آنها نیز اجرا میکند.
آدرسهای ذکرشده بهمرورزمان و در نمونههای مختلف بدافزار تغییر میکند.
روش مقابله و پاکسازی سیستم
آنتیویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای ضمیمه ایمیلها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستمعامل و آنتیویروس خود را به روز نگه دارید.