شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.IFrame.aspx
Trojan.HTML.IFrame.AP
Trojan.Downloader.JS.Iframe.dcb
درجه تخریب: متوسط
میزان شیوع: متوسط
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند، خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راههای ورود تروجانها به سیستم هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار Iframe چیست؟
بدافزار Iframe از جمله بدافزارهای دانلودر و از دسته تروجانهاست که علاوه بر مخفی کردن خود در فایلهای html. و aspx. ، به سایت مخرب مورد نظر وصل شده و اقدام به دانلود بدافزارهای دیگر میکند. این بدافزار طراحی شده تا توسط آدرس یک IFRAME مخفی (که در پس زمینه مرورگر کاربر اجرا میشود) کاربر را به سمت یک سرور سوءاستفاده کننده و مخرب (که با عنوان “Blackhole” شناخته میشوند) هدایت کند.
توضیحات فنی
علائم آلودگی
نمونهای از فایل aspx. آلوده شده توسط این نوع حمله در تصویر زیر قابل مشاهده است. به عنوان مثال، iframe زیر به کد صفحه Login وبسایت قربانی تزریق شده است.
شرح عملکرد
هنگامی که کاربر، صفحه وب آلوده به این بدافزار را باز میکند، مرورگر در پس زمینه (خارج از دید کاربر) تابعی با نام ()iframer اجرا میکند. کار تابع به این صورت است:
یک <iframe> درست میکند و نمایش آن را در صفحه به شکلی در میآورد که از دید کاربر پنهان باشد و آدرس آن را یک میزبان مخرب قرار میدهد ( این میزبانهای مخرب”blackhole” نامیده میشوند).
روش مقابله و پاکسازی سیستم
آنتیویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. یکی از راههای تزریق کد آلوده به صفحات وب، استفاده از حملات Bruteforce و شکستن رمز مدیر وبسایت است. بنابراین، پیشنهاد میشود از انتخاب کلمات عبور ساده خودداری نمایید. علاوه بر این، بخش جلوگیری از نفوذ (IPS) آنتیویروس پادویش نیز آسیبپذیریهای احتمالی را شناسایی کرده و از ورود آن به سیستم شما جلوگیری میکند. از این رو، جهت پیشگیری از آلودگی به این بدافزار پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.