סקירת וירוסים עדכנית
דלג על קישורי ניווט
מידע לאנשי מקצוע
מאמרים
מחקרי סוסים טרויאניים
סקירת וירוסים עדכנית
התראות
 

סקירת וירוסים וקישורים שימושיים 

 Hiloti/Mufanom Downloader

שמות נוספים
• Mal/Hiloti-A (Sophos)
• Trojan:Win32/Hiloti.gen!A (Microsoft)
• Win-Trojan/Mufanom.159744.C (AhnLab)
סוג הגורם: "פותח דלתות אחוריות" תוכנה המאפשרת הדבקה בסוס טרויאני
דרגת סיכון: גבוהה
מערכות הפעלה פגיעות: כל מערכות ההפעלה של Microsoft Windows
תאריך איתור: אותר לראשונה ב 2005, זנים ומופעים חדשים צצים כל הזמן.
אופן הפצה: פתיחת קבצים נגועים המגיעים מהתקנים נתיקים ובדואל
אופן פעולה: משפחה זו של רושעות מתקינה עצמה על המחשב המותקף, יוצרת קשר עם אתר אינטרנט מוגדר מראש ומורידה משם קבצים כמוגדר על ידי מפעיל התוכנה. בנוסף הרושעה משנה את ה Registry לצורך איתחול ב Startup.
סימפטומים:
לתוכנה עצמה אין סימפטומים של ממש מלבד הנזקים שנגרמים על ידי התוכנות המורדות על ידו.
נזקים:
שימוש מאוד מקובל היא הורדת רוגלה המתעדת את ההקלדה של המשתמש ושולחת את לוג ההקלדות לגורם עויין או שליחה של קבצים שונים מהמחשב המקומי אל הגורם העויין. אולם כל סוג של רושעה ורוגלה עלול להיות מוכנס למערכת על ידי תוכנה זו.
אופן החדירה של הרושעה
• התוכנה רושמת אל הספריה %windir% את הקובץ       [random filename].dll
• ואז טוענת את ה DLL  על ידי rundll32.exe
• התוכנה מורידה קבצים מ    [Server Name].edvehal.com/GET/get2.php?
• הקבצים נשמרים כ  %windir%\[random filename].dll
שינויים בRegistry
בזמן הריצה התוכנה יוצרת נקודת הרצה באיתחול המערכת
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    [random value] = rundll32.exe "C:\WINDOWS\[random filename].dll",Startup
ואז יוצרת באקראי את המפתחות הבאים
• 
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\[random filename]
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\[random filename]
   [random value] = 154
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\[random filename]
   [random value] = ""
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\[random filename]
   [random value] = ""
התוכנה גורמת לעצמה 'מוטציות' על ידי יצירת שמות קובץ אקראיים בני שמונה תווים כגון
'z7k2ecd58'
דרכי התגוננות:
• שמירה על עדכניות קבצי החתימות מערכות ההגנה של הארגון
• הגדרת ועדכון אתרים הידועים כאתר ניהול 'טרויאניים'
• אכיפת ססמאות חזקות בארגון
• הדרכת עובדים מפני פתיחת דברי דואל חשודים וקבלת מדיות נתיקות.

הסרת המפגע
• עדכן את חתימות תכנת ה Anti-virus
• הפעל את המחשב במצב Safe-mode
• הרץ את בדיקת המחשב