امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

 

نوع فایل: Trojan

 

سیستم ‏های آلوده شده:

Windows 2000, 7, 8, 95, 98, Me, NT, Vista, XP

Windows Server 2008, Server 2003

زمانی که تروجان اجرا شود، فولدر زیر را ایجاد می ‏کند:

  • %UserProfile%\AppData\Modules

سپس تروجان فایل ‏های زیر را ایجاد می ‏کند:

  • %Windir%\Tasks\TrickBot.job
  • %UserProfile%\AppData\client_id
  • %UserProfile%\AppData\[THREAT FILE NAME]

سپس تروجان Mutex زیر را می ‏سازد:

  • Global\TrickBot

بعد از آن تروجان به آدرس ‏های ریموت زیر برای جمع ‏آوری آدرس ‏های IP کامپیوترهای درمعرض خطر خارجی وصل می‏ شود:

  •           bot.whatismyipaddress.com
  •       ip.anysrc.net
  •       icanhazip.com
  •       api.ipify.org
  •       myexternalip.com

سپس تروجان از طریق پورت TCP (443) به آدرس های زیر متصل می‏ شود:

 

                   

  • 193.9.28.24:443
  • 91.219.28.77:443
  • 37.1.209.51:443
  • 138.201.44.28:443
  • 188.116.23.98:443
  • 104.250.138.194:443
  • 46.22.211.34:443

 

در نهایت تروجان می‏ تواند ماژول ‏های اضافی را دانلود کند.

 

توصیه ‏ها:

شرکت مهندسی و ایمنی شبکه دژپاد تمام کاربران و مدیران را به انجام "بهترین تمرین‏ های" امنیتی ساده زیر تشویق می ‏کند:

  • از دیواره آتش برای مسدود کردن تمام ارتباطات ورودی به سرویس ‏هایی که نباید در دسترس عموم باشند استفاده کنید. به‏ طور پیش ‏فرض، شما باید تمام ارتباطات ورودی را مسدود کرده و فقط به سرویس‏ هایی که می‏ خواهید با دنیای بیرون ارتباط داشته باشند اجازه دسترسی بدهید.
  • سیاست رمزگذاری را اجرا کنید. رمزهای پیچیده باعث می‏ شود تا شکستن رمز فایل‏ های کامپیوترهای درمعرض خطر سخت شود. این کار به جلوگیری یا محدود کردن خسارات وارده به یک کامپیوتر زمانی که درمعرض خطر باشد کمک می‏ کند.
  • مطمئن شوید که برنامه ‏ها و کاربران برای انجام کارهایشان از کمترین سطح دسترسی لازم برخوردار باشند. زمانی که از شما درخواست وارد کردن نام کاربری و گذرواژه Administrator می ‏شود، مطمئن شوید که برنامه مورد نظر از لحاظ قانونی اجازه این کار را داشته باشد.
  • قابلیت AutoPlay را غیرفعال کنید تا از اجرای خودکار فایل ‏های اجرایی روی شبکه یا دستگاه‏ های قابل حمل جلوگیری شود، و همچنین زمانی که به یک درایو نیازی ندارید آن را از سیستم جدا کنید.
  • در صورت عدم نیاز، به اشتراک گذاری فایل ‏ها را خاموش کنید. اگر به اشتراک گذاری فایل‏ ها نیاز دارید از ACL ها و گذرواژه‏ ها برای محدود کردن دسترسی استفاده کنید. دسترسی ناشناس به فولدرهای به اشتراک گذاشته شده را غیرفعال کنید. فقط به حساب‏ های کاربری که گذرواژه ‏های قوی دارند مجوز دسترسی به فولدرهایی را بدهید که باید به اشتراک گذاشته شوند.
  • سرویس ‏های غیر ضروری را خاموش و پاک کنید. به ‏طور پیش ‏فرض، اکثر سیستم عامل‏ ها سرویس ‏های کمکی را نصب می ‏کنند که ضروری نیستند. این سرویس ‏ها راه‏ هایی برای حمله به سیستم هستند. اگر پاک شوند، تهدیدها راه ‏های کمتری برای حمله دارند.
  • اگر یک تهدید یک یا چند سرویس شبکه را در دسترس گرفت، آن سرویس ‏ها را تا زمان انتشار افزونه جدید و نصب آن غیرفعال کرده یا دسترسی ‏هایش را مسدود کنید.
  • همیشه نسخه ‏هایتان را به ‏روز نگه دارید، به‏ خصوص روی سیستم ‏هایی که از سرویس ‏های عمومی میزبانی می‏ کنند و از طریق دیواره آتش قابل دسترسی هستند، مثل HTTP، FTP، Mail، و سرویس ‏های DNS.
  • سرور ایمیل خود را تنظیم کنید تا ایمیل ‏های حاوی پیوست ‏هایی که معمولا برای پخش کردن تهدیدات (مانند .vbs, .bat, .exe, .pif, .scr) استفاده می‏ شوند را پاک یا مسدود کند.
  • سریعا کامپیوترهای درمعرض خطر را قرنطینه کنید تا از پخش شدن بیشتر تهدیدات جلوگیری شود. یک آنالیز قانونی انجام داده و کاپیوترها را با رسانه‏ های قابل اعتماد بازگردانی ( Restore ) کنید.
  • کارمندانتان را آموزش دهید که تا زمانی که منتظر یک پیوست نیستند هیچ پیوستی را باز نکنند. همچنین، نرم ‏افزاری را که از اینترنت دانلود کرده ‏اید را تا زمانی که با ضدویروس آن را اسکن نکرده ‏اید اجرا نکنید. اگر مرورگرتان به ‏روز نباشد یک مراجعه ساده به وب ‏سایت ‏های آلوده ممکن است باعث آلوده شدن سیستم ‏تان شود.
  • اگر برای دستگاه‏ های موبایل‏تان به بلوتوث نیاز ندارید، آن را غیرفعال کنید. اگر نیاز است که از آن استفاده کنید، مطمئن شوید که گزینه دیده شدن دستگاه روی حالت "پنهان" تنظیم شده باشد تا توسط دیگر دستگاه‏ های بلوتوث قابل مشاهده نباشد. اگر نیاز دارید که دستگاه را به اشتراک بگذارید، مطمئن شوید که همه دستگاه ‏ها در گروه "غیر مجاز" طبقه‏ بندی شده باشند، این کار باعث می ‏شود برای هر برقراری ارتباط یک بار عملیات مجوزگیری انجام شود. برنامه ‏هایی که تأیید نشده یا از منابع ناشناس می ‏آیند را قبول نکنید.

 

 

 

به امید موفقیت

امور پشتیبانی مشترکین    

شرکت مهندسی و ایمنی شبکه دژپاد

تهران شهرک غرب، خیابان ارغوان غربی، خیابان پرتو، نبش خیابان پامچال 2، پلاک 19، واحد 1

تلفن : 26654823(21) , 22137612(21)

نمابر :115- 22137612(21)

پست الکترونیک : این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

وب سایت : www.dejpaad.com