Trojan.Win32.Fareit

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.Fareit
Trojan-PSW.Win32.Fareit
درجه تخریب: زیاد
میزان شیوع: زیاد

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند، اما هنگامی‌که اجرا می‌شوند خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راه‌های ورود تروجان‌ها می‌باشند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Fareit چیست؟

Fareit تروجانی است که به‌منظور به سرقت بردن اطلاعات کاربر ازجمله کلمات عبور وب‌سایت‌ها و توزیع انواع مختلفی از دیگر بدافزارها مورداستفاده قرارگرفته است. Fareit تاریخچه قابل‌توجهی در خصوص توزیع بدافزار دارد و عمدتاً یک سارق اطلاعات و دانلودکننده بدافزار است.
این بدافزار در تلاش برای به سرقت بردن کلمات عبور ذخیره‌شده وب‌سایت‌ها از طریق مرورگرهایی مانند Chrome، Firefox، Expolere Internet و Opera است. همچنین در تلاش برای به سرقت بردن اطلاعات حساب‌های کاربری مانند نام سرورها، شماره پورت‌ها، شناسه‌ها و کلمات عبور از کلاینت‌های FTP لیست شده در زیر و یا از طریق برنامه‌های ذخیره‌سازی cloud است.

توضیحات فنی

علائم آلودگی به بدافزار Fareit:

در اکثر موارد رصد شده بدافزار Fareit بوسیله VisualBasic نوشته شده است.

بدافزار Fareit که از طریق ایمیل‌های جعلی در حال انتشار است به‌محض اجرا پردازه دیگری با نام خودش می‌سازد و در پردازه جدید شروع به نوشتن میکندکه این پردازه به سرقت اطلاعات کاربران می‌پردازد.

در واقع پردازه اول تنها عملکردی که دارد ساختن پردازه دوم است.
در بعضی از نمونه های این ،فایل bat ای در مسیر %temp% می‌سازد و با اجرای این فایل Bat، فایل اصلی بدافزار پس از اجرای بدافزار، از سیستم پاک می‌شود و سپس فایل bat اقدام به پاک کردن فایل خود می‌کند.

در انواعی که فایل بدافزار از روی سیستم پاک نشود در مسیر رجیستری زیر برای خود بقا تنظیم میکند.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

برخی از نمونه‌های Fareit اقدام به دانلود فایل‌های دیگر، ذخیره آن‌ها در مسیر %temp% و سپس اجرای آن‌ها می‌نمایند.
در برخی از نمونه‌های Fareit اطلاعات uninstallstring, displayname کلیه کلیدهای رجیستری HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall را برای آدرس http://aseforum.ro می‌فرستد. (این اطلاعات به‌منظور اطلاع پیدا کردن از برنامه‌های نصب‌شده در سیستم قربانی است.)
سپس برای دانلود فایل‌های اجرایی به سایت‌های http://www.rueba.com/eXkdB.exe و http://cancunie.com/fbJAXM9s.exe و http://nikosst.com/yttur.exe متصل شده و این فایل‌ها را اجرا می‌کند.
سپس با استفاده از سه کلمه عبور “SUPPORT_388945a0” و “HelpAssistant”, “Guest” کاربرهایی با این نام را روی local-computer فعال کرده و خود را بجای این کاربران جا میزند و فایل‌های دانلود شده را در محیط آن‌ها نیز اجرا می‌کند.
آدرس‌های ذکرشده به‌مرورزمان و در نمونه‌های مختلف بدافزار تغییر می‌کند.

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستم‌عامل و آنتی‌ویروس خود را به روز نگه دارید.