یکی از ویروس های خانواده win-32

ویروسی با میزان انتشار کم (Low) که یک کرم اینترنتی بوده و در دسته Botnet ها قرار می گیرد. این بدافزارها که در پایان نام اصلی خود عبارت Bot را دارند، معمولا شامل تعدادی دستگاه آلوده در سراسر دنیا و یک یا چند مرکز فرماندهی می باشند که دستورات لازم را به آنها دیکته می کند. این دستورات می تواند شامل سرقت اطلاعات، ارسال هرزنامه، حملات DoS و یا موارد دیگر باشد. این ویروس برای دزدیدن اطلاعات از روی دستگاه های قربانی طراحی شده است و از روش های مهندسی اجتماعی برای گول زدن کاربران استفاده می نماید.
ویروس NGRBot ، از طریق برنامه های چت (Chat messenger) و سایت های شبکه های اجتماعی ( facebook, tweeter,…) انتشار می یابد. همچنین برای انتقال و ارسال و دریافت اطلاعات و فرامین از کانال های IRC استفاده می نماید.
دیسک های USB قابل حمل (Flash Disk) منبع دیگری برای انتشار این ویروس می باشند.
ویروس NGRBot اطلاعات FTP و رمز های ذخیره شده در مرورگر سیستم های قربانی را می دزدد. این کرم اینترنتی با استفاده از کانال های IRC با مرکز فرماندهی خود در ارتباط بوده و به انتقال و ارسال و دریافت اطلاعات می پردازد. این ویروس برای رسیدن به اهداف خود در دزدی اطلاعات، از نوعی سازوکار مشابه Rootkit بهره می برد.
از خرابکاری های این ویروس پایش (Monitor) شبکه و کنترل تمامی ارتباطات داخل شبکه می باشد.
این ویروس قابلیت آلوده نمودن صفحات HTML را دارا بوده و از این طریق مانع باز شدن برخی سایت ها و دریافت بروز رسانی های ضد ویروس ها می شود.در شکل زیر رشته ای از این کرم در حافظه نشان داده شده است:

به محض اتصال به کانال های IRC ویروس NGRBot به صورت یک در پشتی (Back door) عمل نموده و می تواند دستوراتی از کنترل کننده ی راه دور دریافت کند.
در شکل زیر مراحل آلوده شدن سیستم و کارکرد این کرم اینترنتی را مشاهده می کنید:

 

همانطور که در شکل مشخص می باشد در ابتدا کاربر بر روی لینک مخرب در پنجره ی برنامه ی چت کلیک می نماید و با این کار کرم NGRBot را دانلود می نماید. سپس ویروس با اتصال سیستم قربانی به کانال IRC با مرکز فرماندهی خود ارتباط برقرار نموده و به ارسال اطلاعات و دریافت دستورات مخرب می پردازد.
این کرم اینترنتی می تواند خود را بروز کند و برای اینکار تنظیمات DNS را بر روی سیستم قربانی تغییر می دهد:

ویروس NGRBot از بخش ها ی (ماژول) مختلفی تشکیل شده که هر کدام عملیات خاصی را انجام می دهند.
در شکل زیر هر کدام از این بخش ها و کاری که انجام میدهند آورده شده است.

این کرم اینترنتی خود را در پروسه ی explorer.exe تزریق نموده و از طریق پورت ۷۱۷۱ با نشانی IP 27.54.193.102 ارتباط برقرار می نماید.

مانند بیشتر بدافزارها این ویروس نیز با قراردادن خود در بخشهایی از محضرخانه (Registry) باعث می شود با راه اندازی مجدد سیستم، ویروس درون حافظه قرار گیرد.

از آسیب های دیگر این ویروس دریافت ویروس ها و برنامه های مخرب و اجرایشان بر روی سیستم قربانی می باشد. یکی از این برنامه های مخرب ضد ویروس جعلی Live Platinum Security می باشد که با نام ۸.exe در مسیر %appdata% قرار می گیرد. همچنین اسب تروای KillAV با نام ۷.exe در همان مسیر قرار داده می شود. در شکل زیر این ۲ فایل و پنجره ی ضد ویروس جعلی را می بینید.

اسب تروا ی KillAV حدودا ۱۰۰ پروسه ی مربوط به ضد ویروس و برنامه ی ها امنیتی مختلف را بر روی سیستم شناسایی نموده و غیر فعال می نماید. لیست این پروسه ها در زیر آمده است.

scfmanager Fsaw livesrv mscif vir.exe
savser Fspex bdmcon mpft webproxy
savadmins fsm32 bdagent mpfser pavfnsvr
alsvc Tsanti xcommsvr mpfag avengine
almon Kavpf PXConsole mcvss avciman
npfmsg2 Kav PXAgent mcvs apvxdwin
zlh dpasnt kpf4ss mcupd avp
zanda Msfw kpf4gui mcupdm cavtray
cclaw msmps sunthreate mctsk cavrid
npfsvice mpeng sunserv mcshi
njeeves Msco sunprotect mcdet
nipsvc winssno counter mcage
nip symlcsvc clamwin zlcli
nvcsched spbbcsvc clamtray vsmon
nvcoas sndsrvc avgnt webroot
spidernt nscsrvce avguard spysw
spiderui navapsvc avesvc firewalln
drweb ccsetmgr avcenter vrmo
pxcons ccproxy ashwebsv vrfw
pxagent ccetvm ashdisp hsock
guardxkickoff Ccapp ashmaisv wmiprv
vba32ldr alusched ashserv mxtask
nod32kui Oascl isafe caissdt

 همچنین ضد ویروس جعلی Live Platinum Security که توسط ویروس روی سیستم قربانی نصب و اجرا می شود جلوی اجرای پروسه های زیر را می گیرد:

regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
verclsid.exe
ipconfig.exe

از دیگر خرابکاری های ویروس NGRBot جلوگیری از دریافت فایل هایی با پسوند های زیر توسط کاربر می باشد:

exe
com
pif
scr

 

استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درایوها از نکات اولیه برای پیشگری در مقابل کرمها می باشد. ضمن اینکه به کاربران نیز توصیه می شود از کنجکاوی درباره فایل ها و لینک ها ی مشکوک و یا با عناوین جذاب است که در سایت های شبکه های اجتماعی و برنامه های چت، فراوان دیده می شوند اجتناب کنند. به روز نگه داشتن ضدویروس و همچنین استفاده از تنظیمات توصیه شده توسط کارشناسان شرکت مهندسی شبکه گستر در نرم افزار ضدویروس می تواند کامپیوتر را در مقابل این ویروس محافظت کند.

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*