شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.JAVA.Adwind
درجه تخریب: متوسط
میزان شیوع: متوسط
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه به نرمافزارهای مفید و کاربردی رفتار میکنند، اما هنگامی که اجرا میشوند خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راههای ورود تروجانها هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار Adwind چیست؟
تروجان Adwind که با استفاده از دستورات جاوا و در قالب فایلهای JAR توزیع می شود، قادر به سرقت اطلاعات کاربران است. مهاجمان از این بدافزار برای جمعآوری و استخراج دادههای سیستم و همچنین کنترل از راه دور سیستم آلوده استفاده میکنند. اطلاعاتی که این بدافزار از سیستم قربانی جمعآوری میکند، عموما از طریق ابزارهای ورودی/خروجی نظیر صفحه کلید، ماوس و صفحه نمایش است و قادر به مخفیسازی اطلاعات کاربر و ایجاد اختلال در دسترسی به دادههاست.
توضیحات فنی
علائم آلودگی
- ایجاد فایلهایی با عناوین exe و java.exe در مسیر زیر:
"Appdata%\Oracle\bin%"
- تعریف مقدار Debugger در رجیستری برای یک سری از برنامههای سیستمی که سبب میشود کاربر نتواند از آنها استفاده کند. این مقدار در مسیر رجیستری زیر و با تنظیم مقدار exe به عنوان Debugger تعریف میشود:
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"
- غیرفعال کردن ابزار Taskmanager ویندوز با ایجاد مقدار DisableTaskMgr در مسیر رجیستری زیر:
"Software\Microsoft\Windows\CurrentVersion\Policies\System"
و همچنین غیرفعال کردن سرویس بازگردانی سیستم به طریق زیر:
"SOFTWARE\Policies\Microsoft\Windows NT\\SystemRestore"
valueName: DisableConfig
data: 1
"SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore"
valueName: DisableSR
data: 1
- تنظیم مقدار زیر در رجیستری:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
valueName: ConsentPromptBehaviorAdmin
data: 0
این گزینه به بدافزار اجازه میدهد عملیاتی را بدون اعتبارسنجی Admin انجام دهد.
- ایجاد یک پوشه با نام JAVA در درایوهای سیستم و انتقال فایلهای با پسوند خاص (مانند فایلهای تصویری، مستندات و …) به داخل آن و مخفیسازی پوشه. این کار سبب میشود اطلاعات کاربر از چشم او پنهان شود و تصور کند که از دست رفتهاند.
روش مقابله و پاکسازی سیستم
آنتیویروس پادویش این بدافزار را شناسایی و از سیستم حذف میکند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای ضمیمه ایمیلها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستمعامل و آنتیویروس خود را بهروز نگه دارید.