Trojan. JAVA. Adwind

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.JAVA.Adwind
 درجه تخریب: متوسط
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه به نرم‌افزارهای مفید و کاربردی رفتار می‌کنند، اما هنگامی‌ که اجرا می‌شوند خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راه‌های ورود تروجان‌ها هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Adwind چیست؟

تروجان Adwind که با استفاده از دستورات جاوا و در قالب فایل‌های JAR توزیع می شود، قادر به سرقت اطلاعات کاربران است. مهاجمان از این بدافزار برای جمع‌آوری و استخراج داده‌های سیستم و همچنین کنترل از راه دور سیستم آلوده استفاده می‌کنند. اطلاعاتی که این بدافزار از سیستم قربانی جمع‌آوری می‌کند، عموما از طریق ابزارهای ورودی/خروجی نظیر صفحه کلید، ماوس و صفحه نمایش است و قادر به مخفی‌سازی اطلاعات کاربر و ایجاد اختلال در دسترسی به داده‌هاست.

توضیحات فنی

علائم:

  • ایجاد فایل‌هایی با عناوین exe و java.exe در مسیر زیر:

"Appdata%\Oracle\bin%"

  • تعریف مقدار Debugger در رجیستری برای یک سری از برنامه­‌های سیستمی که سبب می­‌شود کاربر نتواند از آن­ها استفاده کند. این مقدار در مسیر رجیستری زیر و با تنظیم مقدار exe به عنوان Debugger تعریف می­‌شود:

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"

  • غیرفعال کردن ابزار Taskmanager ویندوز با ایجاد مقدار DisableTaskMgr در مسیر رجیستری زیر:

"Software\Microsoft\Windows\CurrentVersion\Policies\System"

و همچنین غیرفعال کردن سرویس بازگردانی سیستم به طریق زیر:

"SOFTWARE\Policies\Microsoft\Windows NT\\SystemRestore"

valueName: DisableConfig

data: 1

"SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore"

valueName: DisableSR

data: 1

  • تنظیم مقدار زیر در رجیستری:

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"

valueName: ConsentPromptBehaviorAdmin

data: 0

این گزینه به بدافزار اجازه می‌دهد عملیاتی را بدون اعتبارسنجی Admin انجام دهد.

  • ایجاد یک پوشه با نام JAVA در درایوهای سیستم و انتقال فایل‌های با پسوند خاص (مانند فایل‌های تصویری، مستندات و …) به داخل آن و مخفی‌سازی پوشه. این کار سبب می‌شود اطلاعات کاربر از چشم او پنهان شود و تصور کند که از دست رفته‌اند.

 

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستم‌عامل و آنتی‌ویروس خود را به‌روز نگه دارید.