قالب وردپرس درنا توس
خانه / کامپیوتر و وب / آموزش / ​نحوه عملکرد بدافزار : Backdoor.Tofsee.Gen

​نحوه عملکرد بدافزار : Backdoor.Tofsee.Gen

این بدافزار اولین بار در ژانویه سال ۲۰۱۰ مشاهده شده است و سیستم های عامل Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server, Windows 2000 را تحت تاثیر قرار می دهد.از لحاظ سطح تخریب در حد متوسط است ولیکن از لحاظ توزیع جغرافیایی در سطح کم است. این تروجان یک برنامه ضبط کلید است به این صورت که کلیه کلمه کاربری ها، کلمه گذرها و شماره کارت اعتباری را ضبط کرده برای مهاجم ارسال می کند. این بدافزار ابزارهای امنیتی و مدیریتی سیستم را غیرفعال می کند. این کار از طریق ایجاد یک در پشتی توسط اتصال به سرور IRC و دریافت فرامین مهاجم صورت می پذیرد. کانالی که این تروجان از آن استفاده می‌کند rix.messenger-update.ru است و فرامینی که دریافت می‌کند به منظور انجام اعمال زیر می‌باشد:
۱٫ انتشار با استفاده از امکان پیام فوری در نرم افزارهای پیغام رسان
انتشار در درایوهای قابل جابه جایی
بررسی یک دامنه از میزبان‌ها برای بهره برداری و گسترش
بررسی برای دریافت نسخه جدید تروجان
۲٫ میزان تهدید :
Risk Level : Very Low
۳٫ Hash بدافزار :
۰e9f132635825a64b284707778e61b16
۴٫ روشهای انتشار :
– بارگزاری و نصب نرم افزارهای رایگان یا اشتراکی
– استفاده از نرم افزارهای Peer-to-Peer
– بازدید از وب سایت های مشکوک
۵٫ نشانه های یک سیستم آلوده:
– سیستم بسیار کند می شود
– ایجاد میانبر به Desktop و یا تغییر Home Page مرورگر
– ظاهر شدن PopUp های آزاردهنده روی سیستم
– ارسال ایمیل های مخرب به دوستان بدون اطلاع کاربر
۶٫ تغییر در فایل های سیستم قربانی :

C:\Windows\System32\c0n1me.exe
C:\Windows\Help\AA304E150D0C.exe
C:\Windows\Help\AA304E150D0C.dll
 حذف فایل:
(…Shell.exe (md5:e759bd0c3f63301e366411
System%\drivers\kernelx86.sys%
۷٫ تغییر در رجیستری های سیستم قربانی :
HKEY_CLASSES_ROOT\CLSID\{E89D8A27-B9C8-4563-A02A-1E474904911B}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{E89D8A27-B9C8-4563-A02A1E474904911B}
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kernelx86\”ImagePath” = “\??\C:\WINDOWS\System32\drivers\kernelx86.sys”

وتغییر مقادیر در رجیستری‌های زیر:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{E89D8A27-B9C8-4563-A02A-1E474904911B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\”C:\WINDOWS\System32\msnwm.e
e” = “”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe\”Debugger” = “msnwm.exe”
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\”
C:\WINDOWS\System32\msnwm.exe”= “C:\WINDOWS\System32\msnwm.exe:*:Enabled:UPnP Firewall”
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\”
C:\WINDOWS\System32\msnwm.exe” = “C:\WINDOWS\System32\msnwm.exe:*:Enabled:UPnP Firewall”

۸٫ راهنمای پاکسازی بدافزار با نصب ابزار:
گام ۱ – غیرفعال سازی System Restore
گام ۲ – بروزرسانی آنتی ویروس معتبر و اسکن مجدد سیستم
گام ۳ – استفاده از ابزار پاکسازی آنتی ویروس های معتبر
۹٫ راهنمای حذف دستی بدافزار:
گام ۱ – غیرفعال سازی System Restore
گام ۲ – بروزرسانی آنتی ویروس معتبر و اسکن مجدد سیستم
گام ۳ – جستجو و پاکسازی فرآیند ybhl.exe
گام ۴ – جستجو و پاکسازی فایل های xtnpien.exe ، ybhl.exe ، vx1t3.game
گام ۵ – پاکسازی رجیستری های زیر به حالت پیش فرض

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run mtdoi
\HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess
paraeters\firewallpolicy\standardprofile authorizedapplications\list c:\windows\system32\mtdoi.exe
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ndisio
​نحوه عملکرد بدافزار

راهنمای دانلود

لینک‌های دانلود

راهنمای دانلود

  • برای دانلود، به روی عبارت "دانلود" کلیک کنید و منتظر بمانید تا پنجره مربوطه ظاهر شود سپس محل ذخیره شدن فایل را انتخاب کنید و منتظر بمانید تا دانلود تمام شود.
  • جهت استفاده از فایل های فشرده از نرم افزار WinRar استفاده نموده و به پسورد هر فایل توجه نمایید.
  • در صورت بروز مشکل در دانلود فایل ها تنها کافی است از طریق سیستم گزارش خطا نسبت به بروز مشکل اطلاع دهید تا پیگیری سریع برای حل مشکل اقدام گردد.
  • فایل های قرار داده شده برای دانلود به منظور کاهش حجم و دریافت سریعتر فشرده شده اند، برای خارج سازی فایل ها از حالت فشرده از نرم افزار Win Rar و یا مشابه آن استفاده کنید.
  • کلمه رمز جهت بازگشایی فایل فشرده عبارت www.kolbedanesh.com ( حتما با حروف کوچک تایپ شود ) می باشد. تمامی حروف را میبایستی به صورت کوچک تایپ کنید و در هنگام تایپ به وضعیت EN/FA کیبورد خود توجه داشته باشید همچنین بهتر است کلمه رمز را تایپ کنید و از Copy-Paste آن بپرهیزید.
  • چنانچه در هنگام خارج سازی فایل از حالت فشرده با پیغام CRC مواجه شدید، در صورتی که کلمه رمز را درست وارد کرده باشید. فایل به صورت خراب دانلود شده است و می بایستی مجدداً آن را دانلود کنید.

درباره ی جلال

جلال یاکشی کارشناس مهندسی نرم افزار هستم . برنامه نویسی و مباحث تجارت الکترونیک از علایق همیشگی من بوده و هست و سعی دارم با استفاده از این دانش گامی در جهت بهبود و ترقی بردارم.

مطلب پیشنهادی

ipconfig - Kolbedanesh.com

ابزار آی پی کانفیگ در ویندوز چیست و چه کاربردهایی دارد…

  برخلاف تصور عامه، ipconfig تنها یک دستور CMD نیست و در واقع یک ابزار …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لوازم خانگی بانه فروش