Trojan.Win32.Glupteba.a | بانک اطلاعات تهدیدات بدافزاری پادویش

شرح کلی

نوع: تروجان (Trojan)
درجه تخریب: بالا
میزان شیوع: متوسط

اسامی بدافزار

• Padvish) Trojan.Win32.Glupteba.a)
• Microsoft) Trojan:Win32/Glupteba.NT!MTB)
• ESET-NOD32) Win32/Kryptik.HIJO)
• Avira) TR/AD.SmokeLoader.vwvta)

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راه‌های ورود تروجان‌ها به سیستم هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Glupteba چیست؟

بدافزار Glupteba، یک تروجان است که می‌تواند با تزریق کدهای مخرب در پردازه Explorer.exe ویندوز، کنترل ماشین قربانی را به دست گرفته و با ارتباط با سرورهای فرماندهی و کنترل، سبب دانلود و اجرای نسخه‌های جدید خود و همین طور بدافزارهای دیگری از نوع باج‌افزارها و کرم‌ها شود. این بدافزار در هنگام اجرا، محیط‌ و ابزارهای تحلیل بدافزار را شناسایی کرده و در صورت اجرا در ماشین مجازی، پردازه خود را بدون آلوده کردن سیستم می‌بندد.

توضیحات فنی

علائم آلودگی

• وجود فایل‌های اجرایی بدون پسوند و با نام‌های تصادفی در مسیر %AppData%
• وجود ScheduledTask برای فایل اجرایی موجود در مسیر %AppData%
• وجود تعداد زیادی فایل اجرایی مخرب در مسیر %Temp%
• برقراری ارتباطات شبکه مشکوک توسط پردازه Explorer.exe و به دنبال آن دانلود و اجرای بدافزارهای دیگر

شرح عملکرد

بدافزار بعد از اجرا، کدهای مخرب خود را در پردازه Explorer.exe تزریق می‌کند. در ادامه، یک کپی از فایل خود را با نامی تصادفی و بدون پسوند (با مشخصه مخفی و سیستمی) در مسیر %AppData% ایجاد کرده و فایل اولیه خود را از مسیری که اجرا شده بود حذف می‌کند. بدافزار Glupteba سبب دانلود و اجرای نمونه‌های جدید خود و نمونه‌هایی از انواع باج‌افزارها و بدافزارهای دیگر می‌شود. همچنین، به طور دائم پردازه‌های در حال اجرای سیستم را بررسی کرده و از اجرای برخی از ابزارهای رایج تحلیل بدافزار، از جمله ابزارهای Sysinternals، جلوگیری می‌کند.

حفظ بقای بدافزار

بدافزار با ایجاد یک ScheduledTask و تنظیم مسیر فایل ایجاد شده در %AppData% برای آن، سبب اجرای بدافزار در هر بار راه‌اندازی سیستم و در باز‌‌ه‌های زمانی مشخص می‌شود.

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما پویش کنید. همچنین، در صورت امکان همیشه سیستم‌عامل و آنتی‌ویروس خود را به روز نگه دارید.