از تاریخ ۱۲ شهریور ماه شناسایی فایلهای مخرب منتشر شده از طریق
سایت iLivid توسط بیش از ۱۹
آغاز شد و شناسایی توسط سایر ضدویروسها
نیز به تدریج به این فهرست افزوده می شود.
متخصصان امنیت همواره بر لزوم عدم استفاده از نرم افزارهای ناشناس تأکید می کنند اما کاربران بی احتیاط هیچگاه این توصیه ها را جدی نمی گیرند. نرم افزار iLivid Free Download Manager از این نوع نرم افزارها است.
آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) ,نرم افزارهایی که رفتار مشکوک داشته و فعالیت های نه چندان سالم بر روی سیستم کاربر انجام می دهند و اغلب نیز بطور ناخواسته و بدون اطلاع کاربر بر روی سیستم نصب و فعال می گردند، در گروه “نرم افزار های بالقوه مخرب و ناخواسته” یا Potentially Unwanted Programs و به اختصار PUP قرار می گیرند. نرم افزار iLivid Free Download Manager و همچنین افزونه های (Extension) منتشر شده توسط سایت www.ilivid.com از این گونه نرم افزارها به شمار می آیند.
این سایت محصولات خود را تحت پوشش نام کمپانی Bandoo Media Inc منتشر می کند. نکته جالب این است که این سایت با فریبکاری های مختلف خود را خوشنام معرفی کرده و حتی نشان McAfee Secure را نیز نشان می دهد. به گزارش آی تی اس ان به نقل از شبکه گستر,در توضیحات سایت McAfee Secure در رابطه با این سایت آمده است که سایت مذکور هیچگونه بدافزاری را بطور خودکار بر روی دستگاه مقصد نصب نخواهد کرد. البته همینطور هم هست زیرا این سایت فاقد ActiveX های مخرب بوده و فقط فایل مخرب را برای دریافت در اختیار کاربر قرار می دهد.
پس از نصب محصولات این سایت بر روی سیستم های عامل ۳۲ بیتی، حملات “سر ریز حافظه” یا Buffer Overflow بطور مکرر بر روی سرویسهای حساس سیستم عامل رخ خواهد داد. این مشکل در سیستم های عامل ۶۴ بیتی مشاهده نشده است. بر روی سیستم های ۶۴ بیتی، نرم افزارهای ضد ویروس به راحتی تمام فایلهای مخرب مرتبط را شناسایی و پاکسازی می کنند.
از تاریخ ۱۲ شهریور ماه شناسایی فایلهای مخرب منتشر شده از طریق سایت iLivid توسط بیش از ۱۹ ضدویروس آغاز شد و شناسایی توسط سایر ضدویروسها نیز به تدریج به این فهرست افزوده می شود.
به دلیل پیوستگی و تسلط یکی از فایلهای مخرب نرم افزار iLivid Free Download Manager با نام apcrtldr.dll با هسته سیستم های عامل آلوده، امکان پاکسازی آن توسط ضدویروس در حالت راه اندازی عادی سیستم عامل، فراهم نبوده و این امر باعث ایجاد حالت راه اندازی (Restart) مکرر سیستم عامل می شود.
بدافزاری که با نصب iLivid Free Download Manager بر روی سیستم قربانی فعال می گردد از جمله بدافزار های Downloader بوده و پس از شروع فعالیت، بدافزارهای مشابه دیگری را از اینترنت دریافت نموده و در مسیر های مختلف، مانند \Users یا \Document and settings قرار می دهد.
لازم به ذکر است که فایل مذکور از مجوز (certificate) شرکت Bandoo Media Inc استفاده می کند و با این روش اعتماد کاربر را جلب می نماید.
اکثر فایلهای مخرب این بدافزار توسط ضدویروس McAfee با استفاده از به روز رسانی حداقل DAT 7549 با نام PUP-FOG شناسایی می شوند. برخی دیگر از فایلهای نرم افزار مخرب iLivid با استفاده از فرمول شناسایی موقت (Extra DAT) قابل پاکسازی می باشند. برای دریافت فرمول شناسایی موقت، لطفاً با گروه پشتیبانی شبکه گستر تماس حاصل نمایید.
برای شناسایی و پاکسازی تهدیدات ناشی از نصب وفعالسازی نرم افزار iLivid بر حسب مورد، یکی از راهکارهای زیر را دنبال نمائید.
- راهکار برای سیستم هایی که هنوز به مشکل راه اندازی مکرر دچار نشده اند
راهکار ۱
۱- دریافت ابزار کمکی McAfee Stinger از گروه پشتیبانی و اسکن کامپیوتر های مشکوک به آلودگی با استفاده از این ابزار
۲- راه اندازی مجدد سیستم
راهکار ۲
۱- دریافت فرمول شناسایی موقت از گروه پشتیبانی و قرار دادن در ابزار مدیریتی
۲- به روز رسانی ضدویروس و اسکن درایو سیستم عامل (بهتر است ویروس یابی در حالت Safe Mode انجام شود)
۳- راه اندازی مجدد سیستم
– راهکار برای سیستم هایی که به مشکل راه اندازی مکرر دچار شده اند
راهکار ۱
۱- دریافت ابزار کمکی McAfee Stinger از گروه پشتیبانی
۲- راه اندازی سیستم (در حالتی که سیستم بطور مکرر Restart می شود، پس از
چند بار راه اندازی مجدد، سیستم بطور عادی راه اندازی خواهد شد)
۳- اسکن درایو سیستم عامل با استفاده از ابزار McAfee Stinger
۴- راه اندازی مجدد سیستم
راهکار ۲
۱- ورود به حالت Safe Mode و یا Safe Mode with networking
۲- اسکن درایو سیستم عامل
۳- اطمینان از حذف فایلهای مخرب از مسیر Program Files\Movies App\Datamngr مخصوصاً فایل apcrtldr.dll
۴- راه اندازی سیستم بطور عادی و به روز رسانی ضدویروس
۵- اسکن مجدد درایو سیستم عامل
راهکار ۳
۱- حذف نرم افزار مخرب از بخش Add/Remove Programs
۲- پس از حذف نرم افزار، از حذف فایلهای مخرب موجود در شاخه Program Files\Movies App\Datamngr اطمینان حاصل شود
۳- راه اندازی سیستم بطور عادی و به روز رسانی ضدویروس
۴- اسکن مجدد درایو سیستم عامل
تذکرات لازم
پس از انجام مراحل فوق، ممکن است در راه اندازی مجدد خطای مربوط به سرویس Winlogon مشاهده شود، این حالت با راه اندازی مجدد سیستم رفع خواهد شد.
در صورت وجود نرم افزارهای زیر، حتماً از طریق Add/Remove Programs حذف شوند: Movies Search App for Internet Explorer و iLivid در تمام موارد فوق، فعال بودن گزینه Buffer Overflow Protection در ضدویروس McAfee VSE و یا نصب بودن McAfee HIP، باعث پیشگیری از تخریب فایلهای حساس و مهم سیستم عامل توسط اینگونه بدافزارها می شوند.
اخبار تکمیلی در خصوص بدافزار PUP-FOG، از طریق این سایت اعلام خواهد شد.
پیوندهای مرتبط با فایلهای مخرب این بدافزار:
https://www.virustotal.com/en/file/dff5da6715f1e1cb322e44e7c952090aef8fb09af0fcca88da637d17e163f0cf/analysis/1409811890
https://www.virustotal.com/en/file/de317d9c2316917a55badd48d07b16b5e4792f281f8012e9754b1f34f51f0715/analysis/1409812517
https://www.virustotal.com/en/file/462739844b06fb94e05168d0620895ed5c5d90195309e0eaf4d20094cb26539d/analysis/1409813969
https://www.virustotal.com/en/file/9f98d17de30c1d93ff2a7a74412c23e76b642cef58191773cb0e46e742bd05c9/analysis
https://www.virustotal.com/en/file/51c1c6a6a900ac4f5998ea967c3ddc44c27f98461e6cf12892bc85078c1af067/analysis
https://www.virustotal.com/en/file/4bed655324b9cd0b59185bad87b3bd10e5c4e7af5522ec965270328bb8e81f5f/analysis
https://www.virustotal.com/en/file/3680485fa42def3a832d2e241cb67224e4bf44f30fdfd27dcefc05b7f61dde70/analysis
https://www.virustotal.com/en/file/50123638148a8dbd37b892eb0c3aa905437a1cc38f1363c7da2db1d2c7073188/analysis
https://www.virustotal.com/en/file/13ff1824efa7fd2109a8774b3829adb04f09074683ed31ef73845d3b8abaffdd/analysis
https://www.virustotal.com/en/file/05c5e497a76a8547a8f31242c127a62828b70d323a6e8c704fa75deec363e6cc/analysis
