3 خرداد 1403

قرارگاه جنبش انقلابیون (قجا)

قرارگاه امنیتی و سایبری جنبش انقلابیون جمهوری اسلامی ایران

​نحوه عملكرد بدافزار : Backdoor.Tofsee.Gen

این بدافزار اولین بار در ژانویه سال 2010 مشاهده شده است و سیستم های عامل Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server, Windows 2000 را تحت تاثیر قرار می دهد.از لحاظ سطح تخریب در حد متوسط است ولیكن از لحاظ توزیع جغرافیایی در سطح كم است. این تروجان یک برنامه ضبط كلید است به این صورت كه كلیه كلمه كاربری ها، كلمه گذرها و شماره كارت اعتباری را ضبط كرده برای مهاجم ارسال می كند. این بدافزار ابزارهای امنیتی و مدیریتی سیستم را غیرفعال می كند. این كار از طریق ایجاد یک در پشتی توسط اتصال به سرور IRC و دریافت فرامین مهاجم صورت می پذیرد. كانالی كه این تروجان از آن استفاده می‌كند rix.messenger-update.ru است و فرامینی كه دریافت می‌كند به منظور انجام اعمال زیر می‌باشد:

1. انتشار با استفاده از امكان پیام فوری در نرم افزارهای پیغام رسان
    انتشار در درایوهای قابل جابه جایی
   بررسی یک دامنه از میزبان‌ها برای بهره برداری و گسترش
   بررسی برای دریافت نسخه جدید تروجان

2. میزان تهدید :
 Risk Level :‎ Very Low

 3. Hash بدافزار :
0e9f132635825a64b284707778e61b16

4. روشهای انتشار :

1. بارگزاری و نصب نرم افزارهای رایگان یا اشتراكی
2. استفاده از نرم افزارهای Peer-to-Peer
3. بازدید از وب سایت های مشكوك

5. نشانه های یک سیستم آلوده:

1. سیستم بسیار كند می شود
2. ایجاد میانبر به Desktop و یا تغییر Home Page مرورگر
3. ظاهر شدن PopUp های آزاردهنده روی سیستم
4. ارسال ایمیل های مخرب به دوستان بدون اطلاع كاربر

6. تغییر در فایل های سیستم قربانی :

C:‎\Windows\System32\c0n1me.exe
C:‎\Windows\Help\AA304E150D0C.exe
C:‎\Windows\Help\AA304E150D0C.dll
Shell.exe ‪(md5:e759bd0c3f63301e366411.‎.‎.‎)‬
%System%\drivers\kernelx86.sys ( حذف فایل )

7. تغییر در رجیستری های سیستم قربانی :

HKEY_CLASSES_ROOT\CLSID\‪{E89D8A27-B9C8-4563-A02A-1E474904911B}‬
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\‪{E89D8A27-B9C8-4563-A02A-1E474904911B}‬
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kernelx86\”ImagePath” = “\?‎?‎\C:‎\WINDOWS\System32\drivers\kernelx86.sys”
وتغییر مقادیر در رجیستریهای زیر :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\‪{E89D8A27-B9C8-4563-A02A-1E474904911B}‬
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\‪”C:‎\WINDOWS\System32\msnwm.exe”‬ = “”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe\”Debugger” = “msnwm.exe”
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\”C:‎\WINDOWS\System32\msnwm.exe”= “C:‎\WINDOWS\System32\msnwm.exe:‎*:Enabled:UPnP Firewall”
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\”C:‎\WINDOWS\System32\msnwm.exe” = “C:‎\WINDOWS\System32\msnwm.exe:‎*:Enabled:UPnP Firewall”

8. راهنمای پاكسازی بدافزار با نصب ابزار:

گام 1 – غیرفعال سازی System Restore
گام 2 – بروزرسانی آنتی ویروس معتبر و اسكن مجدد سیستم
گام 3 – استفاده از ابزار پاكسازی آنتی ویروس های معتبر

9. راهنمای حذف دستی بدافزار:

گام 1 – غیرفعال سازی System Restore
گام 2 – بروزرسانی آنتی ویروس معتبر و اسكن مجدد سیستم
گام 3 – جستجو و پاكسازی فرآیند ybhl.exe
گام 4 – جستجو و پاكسازی فایل های xtnpien.exe ، ybhl.exe ، vx1t3.game
گام 5 – پاكسازی رجیستری های زیر به حالت پیش فرض

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run mtdoi
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile authorizedapplications\list c:‎\windows\system32\mtdoi.exe
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ndisio

https://313-313.ir/