شرح کلی
نوع: تروجان (Trojan)
درجه تخریب: بالا
میزان شیوع: متوسط
اسامی بدافزار
• Padvish) Trojan.Win32.Glupteba.a)
• Microsoft) Trojan:Win32/Glupteba.NT!MTB)
• ESET-NOD32) Win32/Kryptik.HIJO)
• Avira) TR/AD.SmokeLoader.vwvta)
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند، خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راههای ورود تروجانها به سیستم هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار Glupteba چیست؟
بدافزار Glupteba، یک تروجان است که میتواند با تزریق کدهای مخرب در پردازه Explorer.exe ویندوز، کنترل ماشین قربانی را به دست گرفته و با ارتباط با سرورهای فرماندهی و کنترل، سبب دانلود و اجرای نسخههای جدید خود و همین طور بدافزارهای دیگری از نوع باجافزارها و کرمها شود. این بدافزار در هنگام اجرا، محیط و ابزارهای تحلیل بدافزار را شناسایی کرده و در صورت اجرا در ماشین مجازی، پردازه خود را بدون آلوده کردن سیستم میبندد.
توضیحات فنی
علائم آلودگی
• وجود فایلهای اجرایی بدون پسوند و با نامهای تصادفی در مسیر %AppData%
• وجود ScheduledTask برای فایل اجرایی موجود در مسیر %AppData%
• وجود تعداد زیادی فایل اجرایی مخرب در مسیر %Temp%
• برقراری ارتباطات شبکه مشکوک توسط پردازه Explorer.exe و به دنبال آن دانلود و اجرای بدافزارهای دیگر
شرح عملکرد
بدافزار بعد از اجرا، کدهای مخرب خود را در پردازه Explorer.exe تزریق میکند. در ادامه، یک کپی از فایل خود را با نامی تصادفی و بدون پسوند (با مشخصه مخفی و سیستمی) در مسیر %AppData%
ایجاد کرده و فایل اولیه خود را از مسیری که اجرا شده بود حذف میکند. بدافزار Glupteba سبب دانلود و اجرای نمونههای جدید خود و نمونههایی از انواع باجافزارها و بدافزارهای دیگر میشود. همچنین، به طور دائم پردازههای در حال اجرای سیستم را بررسی کرده و از اجرای برخی از ابزارهای رایج تحلیل بدافزار، از جمله ابزارهای Sysinternals، جلوگیری میکند.
حفظ بقای بدافزار
بدافزار با ایجاد یک ScheduledTask و تنظیم مسیر فایل ایجاد شده در %AppData%
برای آن، سبب اجرای بدافزار در هر بار راهاندازی سیستم و در بازههای زمانی مشخص میشود.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای ضمیمه ایمیلها را قبل از اجرا، حتما پویش کنید. همچنین، در صورت امکان همیشه سیستمعامل و آنتیویروس خود را به روز نگه دارید.