شرح کلی
نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Dorkbot
Worm.Win32.Ngrbot
Worm.Ngrbot
درجه تخریب: زیاد
میزان شیوع: زیاد
کرم (worm) چیست؟
کرم های کامپیوتری همچون Ngrbot نوعی از بدافزار محسوب میشوند که توان تکثیر کردن خود را بهصورت خودکار دارند. کرمها برای بقا، روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه هست.
بدافزار Ngrbot چیست؟
Ngrbot بدافزاری است که با استفاده از تزریق کد مخرب در پردازههای سیستم و هوک کردن API های آن پردازه، شروع به سرقت اطلاعات و پنهانسازی خود از دید کاربر میکند. این بدافزار با استفاده از دستورات IRC، کنترل سیستم قربانی را در اختیار سرور مهاجم قرار می دهد. سرور مهاجم میتواند کنترل سیستم را برای اهداف بیشتر در اختیار گیرد.
بدافزار Ngrbot محیط مناسبی را برای دانلود و اجرای دیگر بدافزارها به وجود میاورد همچنین اقدام به سرقت اطلاعات و جاسوسی در سیستم قربانیان پرداخته و اجازه اتصال آنها به سایتهای مربوط به امنیت را نمیدهد. این بدافزار از طریق شبکه، درایوهای قابلحمل و ارسال پست الکترونیکی منتشر میشود.
توضیحات فنی
علائم آلودگی به بدافزار Ngrbot:
- پردازههای Calc.exe, Mspaint.exe بدون هیچ رابط گرافیکی(User Interface) در حال اجرا میباشند.
- دایرکتوریها و فایلهای زیر موجود میباشند:
• %User Profile%\Application Data\Update
• %User Profile%\Application Data\WindowsUpdate
• %User Profile%\Application Data\c731200
• %User Profile%\Application Data\Update\Explorer.exe
• %User Profile%\Application Data\Update\Update.exe
• %User Profile%\Application Data\WindowsUpdate\Updater.exe
- فایلها و دایرکتوریهای زیر حذف میشوند:
• [SystemRoot]:\Documents and Settings\All Users\Start Menu\Programs\Startup\desktop.ini
• %User Profile%\Start Menu\Programs\Startup\desktop.ini
• [SystemRoot]:\RECYCLER
- کلید رجیستریهای زیر را ایجاد میکند:
• …\Software\Microsoft\Windows\CurrentVersion\Run
ValueName:Windows Update Installer
Data: %User Profile%\Application Data\WindowsUpdate\Updater.exe
• …\Software\Microsoft\Windows\CurrentVersion\Run
ValueName:Windows Explorer Manager
Data: %User Profile%\Application Data\update\explorer.exe
- مجموعه ای فایلهای بدافزاری از انواع و خانواده های مخلتف بدافزار (Trojan-NetWorm-Backdoor و..) را دانلود میکند
روش مقابله و پاکسازی سیستم
پادویش با دارا بودن قابلیت UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابلحمل را میگیرد. ازاینرو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابلحمل انتقال میابند ازجمله بدافزار Ngrbot پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Ngrbot آلوده شده است مراحل زیر را دنبال کنید:
- پادویش را بر رو سیستم خود نصب کنید.
- درایو قابلحمل آلوده را به سیستم وصل کنید.
- با استفاده از پادویش درایو قابلحمل خود را اسکن کنید تا درایو قابلحمل و سیستم آلوده شما پاکسازی شود.