Trojan.Win32.Bitpower

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.Bitpower
درجه تخریب: متوسط
میزان شیوع: زیاد

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند، اما هنگامی‌که اجرا می‌شوند خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راه‌های ورود تروجان‌ها می‌باشند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Bitpower چیست؟

این بدافزار از نوع تروجان می‌باشد که بدون فایل بوده(FileLess) و در رجیستری سیستم قربانی پنهان می‌شود و با هر بار راه‌اندازی مجدد سیستم، کار خود را آغاز می‌کند. هدف نهایی بدافزار انجام عملیات استخراج ارز مجازی است که موجب اشغال درصدی از cpu سیستم شده و پردازش‌های سیستمی را کند می‌کند. همچنین این بدافزار بستری برای دانلود بدافزارهای دیگر در سیستم قربانی فراهم می‌کند.

توضیحات فنی

علائم آلودگی به بدافزار Bitpower:
دو مسیر رجیستری زیر در سیستم قربانی دیده می‌شود:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “{FCDBC6CB-021E-4264-863A-7E25BD96BA88}”=”\”[SystemRoot]:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\” -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp ‘HKCU:\\Software\\Classes\\jjBzwMoUbmI’).PHEMCHC)));”
[HKEY_CURRENT_USER\Software\Classes\jjBzwMoUbmI] “PHEMCHC”=
“{FCDBC6CB-021E-4264-863A-7E25BD96BA88}”=hex:
“{0DCA5441-C293-47C8-8351-B413298DCC80}”=hex:22,51,9a,64,dc

روش مقابله و پاک‌سازی سیستم

موارد زیر جهت پیشگیری از آلودگی به این بدافزار توصیه می‌شود:

  • غیرفعال کردن و محدود کردن اجرای اسکریپت‌های غیرضروری.
    یکی از روندهای رو به رشد در بدافزارها استفاده از ابزارهای کوچک یا اسکریپت‌های WSF,VBS,JS,SCR,PS1 و مانند آن به‌عنوان اولین مرحله آلودگی است . با توجه به محدودیت‌های سرویس‌دهنده‌های ایمیل در ارسال فایل‌های اجرایی و برای دور زدن آنتی‌ویروس‌های مبتنی بر امضا بدافزار نویسان از ابزارهای کوچک و اسکریپت‌های مبهم شده استفاده می‌کنند.
  • اطلاع‌رسانی و آموزش کاربران برای پرهیز از رفتار خطرناک.
    می‌بایست آموزش‌های کافی به کاربران برای پرهیز از رفتارهای خطرناک نظیر باز کردن فایل‌های پیوست ایمیل، مراجعه به سایت‌های ناشناس یا کلیک روی لینک‌های مشکوک و عدم دریافت فایل از منابع نامعتبر (دانلود فایل‌های کرک نرم‌افزارها و بازی‌ها، نسخه‌های به‌روزرسانی و غیره از منابع نامعتبر می‌تواند موجب آلودگی سیستم شود) ارائه شود.
  • به‌روز بودن مداوم آنتی‌ویروس.
    توصیه ما به شما نصب آنتی‌ویروس پادویش است، زیرا اسکنر رجیستری این آنتی‌ویروس به‌راحتی بدافزار مذکور را که در رجیستری مقیم شده است از سیستم حذف و سیستم را پاک‌سازی می‌کند.