Backdoor.Win32.Bifrose

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Backdoor.Win32.Bifrose
Backdoor.Bifrose
درجه تخریب: زیاد
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند، اما هنگامی‌که اجرا می‌شوند خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راه‌های ورود تروجان‌ها می‌باشند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Bifrose چیست؟

این بدافزار یک keylogger است که به ذخیره تصاویر از محیط سیستم می‌پردازد. یک درب پشتی(Backdoor) روی سیستم قربانی ایجاد می‌کند و اطلاعات سیستم را به سرور می‌فرستد.

توضیحات فنی

 علائم آلودگی به بدافزار Bifrose:

  1. تزریق بدافزار Bifrose به پردازه explorer.exe و iexplorer.exe و عملیات اجرای فایل از این پردازه‌ها
  2. ایجاد یک درب پشتی(Backdoor) روی سیستم قربانی
  3. کپی از خود با نام loadqm.exe به‌صورت رندم در یکی از دو آدرس زیر:
    • دایرکتوری ویندوز
    • دایرکتوری سیستم
  4. حذف فایل wmisnt.exe در صورت وجود و کپی کردن از روی فایل اصلی با نام wmisnt در مسیر system32

روش مقابله و پاک‌سازی سیستم

پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال می یابند ازجمله بدافزار Bifrose پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Bifrose آلوده شده است مراحل زیر را دنبال کنید:

  1. پادویش را بر رو سیستم خود نصب کنید.
  2. درایو قابل‌حمل آلوده را به سیستم وصل کنید.
  3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.