راهنمای بازیابی فایلها و فولدرهای پنهان شده توسط بدافزار پنهان گر
به تازگی بدافزاری شیوع پیدا كرده است كه باعث پنهان شدن برخی از فایل ها و پوشه های حافظه های قابل حمل (از قبیل فلش ها، هارد اكسترنال و …) می گردد. این تروجان كه BackDoor-FHI نام دارد (بدافزارهایی با عملكرد مشابه نیز در گذشته شناسایی شده اند)، همچنین قادر به آلوده سازی منابع مشترك شبكه می باشد. آلودگی هنگامی رخ می دهد كه فایل اصلی بدافزار اجرا شود كه معمولاًshortcut جعلی از فایل ها و پوشه های موجود در حافظه است. این بدافزار از روش های متفاوتی برای انتشار خود استفاده می كند كه از آن جمله می توان به انتشار از طریق e-mail، صفحات وب آلوده و هك شده، شبكه های peer-to-peer و IRC ها اشاره كرد.
نحوه عملكرد:
به محض اجرای فایل اصلی بدافزار، این تروجان خود را در مسیر زیر قرار می دهد.
· %UserProfile%\Application Data\[random]\[random].exe
سپس چند كپی از خود را در محل های مختلف قرار می دهد.
· $ReChCLE.BIN[malware data file]
· readme.tat[malware data file]
· reYdme.tat[malware data file]
· thLmbs.db
· desktopfini[malware data file]
· vagefile.sys[malware data file]
همچنین فایل های lnk كه نامشان را از فایل های موجود در حافظه سیستم گرفته است، ایجاد می شوند. این كار پس از پنهان نمودن فایل های اصلی صورت می گیرد.
پسوندهای مورد توجه این بدافزار كه اقدام به ایجاد shortcut از آنها و سپس پنهان نمودن فایل اصلی می كند عبارتند از:
· xls
· doc
· mp3
· ppt
· dll
· db
تروجان سپس كد خود را در چند پروسس تصادفی inject كرده، سعی در برقراری ارتباط با host های آلوده زیر می نماید. (URL های ذكر شده می تواند بر حسب نقاط جغرافیایی مختلف تغییر كند).
· www.guard.su
· www.protection.su
· www.e-statics.cc
· somesytems.cc
· www-protection.su
· estore-main.su
· strong-services.su
· wprotections.su
· wguards.su
علائم آلودگی به بدافزار BackDoor-FHL
موارد زیر نشان دهنده نشان دهنده آلودگی به این بدافزار است:
· اگر یك فایل یا پوشه با نام یكسان، در همان مكان ایجاد و فایل اصلی hidden شده باشد.
· اگر فایل یا پوشه هم نام با فایل shortcut موجود باشد و hidden نشده باشد. به نظر می رسد كه این فایل های shortcut به منظور هدایت كاربر به سمت بدافزار ایجاد شده اند.
· اگر فایل یا پوشه ای با نامی غیر از فایل shortcut باشد، امكان آن وجود دارد كه shortcut آلوده باشد.
· اگر كلید رجیستری زیر وجود داشته باشد، احتمال آلودگی وجود دارد
HKEY_CURRENT_USER\Software\Microsoft\\Windows\CurrentVersion\Run”{8DF9EE17-84FF-E9C9-901F-18FC59A5DB1E}” =%UserProfile%\Application Data \ [Random] \[random].exe /r
روش های جلوگیری از آلوده شدن به این بدافزار:
· احتیاط در باز كردن ایمیل های ناشناس و لینك های ناشناخته
· بروزرسانی ویندوز و وصله های برنامه های كاربردی و آنتی ویروس ها و اعمال قوانین فیلترینگ مناسب
· مسدود كردن دسترسی شبكه به URL های ذكر شده
· فعال كردن Access Protection و تنظیم قوانین به نحوی كه از تغییر ناخواسته attributes فایل ها و فولدرها جلوگیری شود.
راهكار نمایش فایل های پنهان
در صورت آلودگی به این بدافزار، با آنكه خود بدافزار توسط تمامی آنتی ویروس های معتبر شناخته و پاك می شود ولی نشانه های آن باقی می ماند، یعنی بسیاری از فایلهای شما پنهان می مانند و استفاده از لبه view منوی folder option نیز كار زمان بری می باشد. لذا می توانید برای اصلاح فایل های خود، از دستور ذیل استفاده كنید.
1. ابتدا برنامه command prompt را از بخش Accesories منوی استارت اجرا نمایید.
2. سپس عبارت روبرو را تایپ نمایید: attrib -s -h -r “c:\*” /s /d
3. توجه داشته باشید كه می بایست به جای عبارت c:\ مسیری كه قصد غیرفعال نمودن فایلهای پنهان آن را دارید، وارد نمایید. مثلا اگر قصد دارید فایلهای پوشه test كه در درایو d قرار دارند را از حالت پنهان خارج سازید، می بایست دستور زیر را وارد كنید.
attrib -s -h -r “d:\test\*” /s /d