Worm.Win32.Ngrbot

شرح کلی

نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Dorkbot
Worm.Win32.Ngrbot
Worm.Ngrbot
درجه تخریب: زیاد
میزان شیوع: زیاد

کرم (worm) چیست؟

کرم های کامپیوتری همچون Ngrbot نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Ngrbot چیست؟

Ngrbot بدافزاری است که با استفاده از تزریق کد مخرب در پردازه‌های سیستم و هوک کردن API های آن پردازه، شروع به سرقت اطلاعات و پنهان‌سازی خود از دید کاربر می‌کند. این بدافزار با استفاده از دستورات IRC، کنترل سیستم قربانی را در اختیار سرور مهاجم قرار می دهد. سرور مهاجم می‌تواند کنترل سیستم را برای اهداف بیشتر در اختیار گیرد.
بدافزار Ngrbot محیط مناسبی را برای دانلود و اجرای دیگر بدافزارها به وجود میاورد همچنین اقدام به سرقت اطلاعات و جاسوسی در سیستم‌ قربانیان پرداخته و اجازه اتصال آن‌ها به سایت‌های مربوط به امنیت را نمی‌دهد. این بدافزار از طریق شبکه، درایوهای قابل‌حمل و ارسال پست الکترونیکی منتشر می‌شود.

توضیحات فنی

علائم آلودگی به بدافزار Ngrbot:

  • پردازه‌های Calc.exe, Mspaint.exe بدون هیچ رابط گرافیکی(User Interface) در حال اجرا می‌باشند.
  • دایرکتوری‌ها و فایل‌های زیر موجود می‌باشند:

•    %User Profile%\Application Data\Update
•    %User Profile%\Application Data\WindowsUpdate
•    %User Profile%\Application Data\c731200
•    %User Profile%\Application Data\Update\Explorer.exe
•    %User Profile%\Application Data\Update\Update.exe
•    %User Profile%\Application Data\WindowsUpdate\Updater.exe

  • فایل‌ها و دایرکتوری‌های زیر حذف‌ می‌شوند:

•    [SystemRoot]:\Documents and Settings\All Users\Start Menu\Programs\Startup\desktop.ini
•    %User Profile%\Start Menu\Programs\Startup\desktop.ini
•    [SystemRoot]:\RECYCLER

  • کلید رجیستری‌های زیر را ایجاد می‌کند:

•    …\Software\Microsoft\Windows\CurrentVersion\Run

ValueName:Windows Update Installer

Data: %User Profile%\Application Data\WindowsUpdate\Updater.exe

•    …\Software\Microsoft\Windows\CurrentVersion\Run

ValueName:Windows Explorer Manager

Data: %User Profile%\Application Data\update\explorer.exe

  • مجموعه ای فایل‌های بدافزاری از انواع و خانواده های مخلتف بدافزار (Trojan-NetWorm-Backdoor و..) را دانلود می‌کند

روش مقابله و پاک‌سازی سیستم

پادویش با دارا بودن قابلیت  UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال میابند ازجمله بدافزار Ngrbot پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Ngrbot آلوده شده است مراحل زیر را دنبال کنید:

  1. پادویش را بر رو سیستم خود نصب کنید.
  2. درایو قابل‌حمل آلوده را به سیستم وصل کنید.
  3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.