maniei.ir

maniei.ir

یاد من باشد فردا حتما باور این را بکنم، که دگر فرصت نیست و بدانم که اگر دیر کنم ،مهلتی نیست مرا و بدانم که شبی خواهم رفت و شبی هست، که نیست، پس از آن فردایی
maniei.ir

maniei.ir

یاد من باشد فردا حتما باور این را بکنم، که دگر فرصت نیست و بدانم که اگر دیر کنم ،مهلتی نیست مرا و بدانم که شبی خواهم رفت و شبی هست، که نیست، پس از آن فردایی

BackDoor-FHI

راهنمای بازیابی فایل ها و فولدرهای پنهان شده توسط بدافزارهای پنهان گر


به تازگی بدافزاری شیوع پیدا کرده است که باعث پنهان شدن برخی از فایل ها و پوشه های حافظه های قابل حمل (از قبیل فلش ها، هارد اکسترنال و ...) می گردد. این تروجان که BackDoor-FHI نام دارد (بدافزارهایی با عملکرد مشابه نیز در گذشته شناسایی شده اند)، همچنین قادر به آلوده سازی منابع مشترک شبکه می باشد. آلودگی هنگامی رخ می دهد که فایل اصلی بدافزار اجرا شود که معمولاً shortcut جعلی از فایل ها و پوشه های موجود در حافظه است. این بدافزار از روش های متفاوتی برای انتشار خود استفاده می کند که از آن جمله می توان به انتشار از طریق e-mail، صفحات وب آلوده و هک شده، شبکه های peer-to-peer و IRC ها اشاره کرد.
نحوه عملکرد:
به محض اجرای فایل اصلی بدافزار، این تروجان خود را در مسیر زیر قرار می دهد.
·         %UserProfile%\Application Data\[random]\[random].exe
سپس چند کپی از خود را در محل های مختلف قرار می دهد.
·         $ReChCLE.BIN[malware data file]
·         readme.tat[malware data file]
·         reYdme.tat[malware data file]
·         thLmbs.db
·         desktopfini[malware data file]
·         vagefile.sys[malware data file]
همچنین فایل های lnk که نامشان را از فایل های موجود در حافظه سیستم گرفته است، ایجاد می شوند. این کار پس از پنهان نمودن فایل های اصلی صورت می گیرد.
پسوندهای مورد توجه این بدافزار که اقدام به ایجاد shortcut از آنها و سپس پنهان نمودن فایل اصلی می کند عبارتند از:
·         xls
·         doc
·         mp3
·         ppt
·         dll
·         db
تروجان سپس کد خود را در چند پروسس تصادفی inject کرده، سعی در برقراری ارتباط با host های آلوده زیر می نماید. (URL های ذکر شده می تواند بر حسب نقاط جغرافیایی مختلف تغییر کند).
·         www.guard.su
·         www.protection.su
·         www.e-statics.cc
·         somesytems.cc
·         www-protection.su
·         estore-main.su
·         strong-services.su
·         wprotections.su
·         wguards.su
علائم آلودگی به بدافزار BackDoor-FHL
موارد زیر نشان دهنده نشان دهنده آلودگی به این بدافزار است:
·         اگر یک فایل یا پوشه با نام یکسان، در همان مکان ایجاد و فایل اصلی hidden شده باشد.
·         اگر فایل یا پوشه هم نام با فایل shortcut موجود باشد و hidden نشده باشد. به نظر می رسد که این فایل های shortcut به منظور هدایت کاربر به سمت بدافزار ایجاد شده اند.
·         اگر فایل یا پوشه ای با نامی غیر از فایل shortcut باشد، امکان آن وجود دارد که shortcut آلوده باشد.
·         اگر کلید رجیستری زیر وجود داشته باشد، احتمال آلودگی وجود دارد
HKEY_CURRENT_USER\Software\Microsoft\\Windows\CurrentVersion\Run"{8DF9EE17-84FF-E9C9-901F-18FC59A5DB1E}" =%UserProfile%\Application Data \ [Random] \[random].exe /r
روش های جلوگیری از آلوده شدن به این بدافزار:
·         احتیاط در باز کردن ایمیل های ناشناس و لینک های ناشناخته
·         بروزرسانی ویندوز و وصله های برنامه های کاربردی و آنتی ویروس ها و اعمال قوانین فیلترینگ مناسب
·         مسدود کردن دسترسی شبکه به URL  های ذکر شده
·        فعال کردن Access Protection و تنظیم قوانین به نحوی که از تغییر ناخواسته attributes فایل ها و فولدرها جلوگیری شود.
راهکار نمایش فایل های پنهان
در صورت آلودگی به این بدافزار، با آنکه خود بدافزار توسط تمامی آنتی ویروس های معتبر شناخته و پاک می شود ولی نشانه های آن باقی می ماند، یعنی بسیاری از فایلهای شما پنهان می مانند و استفاده از لبه view منوی folder option نیز کار زمان بری می باشد. لذا می توانید برای اصلاح فایل های خود، از دستور ذیل استفاده کنید.
1.       ابتدا برنامه command prompt را از بخش Accesories منوی استارت اجرا نمایید.
2.       سپس عبارت روبرو را تایپ نمایید: attrib -s -h -r "c:\*"  /s /d
3.       توجه داشته باشید که می بایست به جای عبارت c:\ مسیری که قصد غیرفعال نمودن فایلهای پنهان آن را دارید، وارد نمایید. مثلا اگر قصد دارید فایلهای پوشه test که در درایو d قرار دارند را از حالت پنهان خارج سازید، می بایست دستور زیر را وارد کنید.
attrib -s -h -r “d:\test\*” /s /d

IE10

IE10، قوی‌ترین مرورگر از لحاظ مقابله با بدافزار 



آزمایشگاه NSS در آزمایش جدیدی دریافته است که اینترنت اکسپلورر مایکروسافت نسخه 10 بدافزارهای بیشتری را نسبت به مرورگرهای کروم، سافاری و اپرا مسدود می کند.
 
آزمایشگاه NSS در آزمایش جدیدی دریافته است که اینترنت اکسپلورر مایکروسافت نسخه 10 بدافزارهای بیشتری را نسبت به مرورگرهای کروم، سافاری و اپرا مسدود می کند.
در این آزمایش عملکرد آخرین نسخه های پنج مرورگر محبوب در مدت 28 روز در برابر 754 آدرس URL آلوده شده به بدافزار مورد بررسی قرار گرفت. در این بررسی IE10 با مسدود نمودن 99.9 درصد آدرس های آلوده در صدر قرار گرفت پس از آن کروم با 83.1 درصد، فایرفاکس با 10 درصد، سافاری با 9.9 درصد و اپرا 1.8 با درصد در رده های بعدی قرار گرفتند.
با توجه به گزارش آزمایشکاه NSS، مرورگرهای سافاری و فایرفاکس هر دو از Safe Browsing API v1 گوگل استفاده می کننددر حالی که اپرا از یک طرح مشابه دیگر استفاده می کند. به نظر می رسد هیچ یک از این گزینه ها به خوبی کار نمی کند. باید توجه داشت که مرورگر کروم از Safe Browsing API v2 استفاه می کند.
در مقابل اینترنت اکسپلورر، مانند کروم از ترکیبی از URL و فیلترینگ معروف فایل استفاده می کند ولی با استفاده از لایه اضافی Application Reputation توانسته است در صدر این جدول قرار گیرد و بدافزارهای بیشتری را مسدود نماید.
فن آوری شرکت های مایکروسافت و گوگل در اصل با یکدیگر تفاوت ندارد اما به نظر می رسد مایکروسافت تجزیه و تحلیل های مبتنی بر فایل پیچیده تری را برای کشف تهدیدات به کار می برد.
آزمایشگاه NSS، عملکرد IE10 در ویندوز 8 را مورد آزمایش قرار داده است، سیستم App Rec نیز در IE9 برای کاربران ویندوز 7 وجود دارد اما مشخص نیست که این سیستم درIE9  بتواند حفاظتی مشابه با IE10داشته باشد.