خبر کانال پادویش :

به گزارش پادویش نمونه جدیدی از بدافزار Killav مورد بررسی قرار گرفته است. Killavها اغلب به صورت bot یا backdoor عمل می کنند. رفتار آنها معمولا به این شکل است که ابتدا ابزارها و سرویس های امنیتی سیستم قربانی را از کار می اندازند و بعد با ارتباط مستمری که با سرور ریموت خود دارند دستورات مورد نظر هکر را از راه دور دریافت می کنند. این دستورات می توانند منجر به نصب ابزار یا اجرای فرامین خاصی در سیستم قربانی شوند. نمونه بررسی شده سرویس آنتی ویروسها و ابزارهای امنیتی زیر را از کار می اندازد:
• avp.exe
• 360tray.exe
• ravmonD.exe
• kvmonxp.exe
• 360sd.exe
• Mcshield.exe
• egui.exe
• kxtray.exe
• knsdtray.exe
• TMBMSRV.exe
• avgui.exe
• Avastsvc.exe
• avguard.exe
• QQ.exe
• Ayagent.aye
• AliIm.exe
• MsMpEng.exe
• bdnagent.exe
• spider.exe


همچنین پروتکل session جاری را بررسی کرده، در صورتیکه آن سیستم از پروتکل RDP استفاده کرده باشد با تنظیماتی که بر روی terminal service و Remote Desktop Service یا RDS انجام می دهد، بستر را برای آلودگی های ثانویه خود فراهم می کند. این بدافزار همچنین اکانت Guest را در سیستم قربانی فعال کرده، پسورد 123456 را برای آن ذخیره می کند. سپس به این اکانت دسترسی Administrator می دهد.


علائم آلودگی بدافزار : بالا بودن یک سرویس با نام رندوم و نامفهموم در لیست پردازه های جاری سیستم


✅جهت محافظت از دستگاه خود می توانید از آنتی ویروس پادویش استفاده نمایید.
������خبر را برای دوستان خود بازنشر دهید ������������
==============================================
کانال تخصصی پیرامون اخبار بدافزارها٬ ویروس ها و باج افزار ها