Dat براي شناسايي 5400
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس FakeAlert-AG.gen.aنيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ویروس FakeAlert-AG.gen.a که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.
خرابكاري
به محض اجرا شدن ویروس، فايلهای مخرب در مسيرهای زير کپی می شوند. (نام فايل آلوده در گونه های مختلف متفاوت می باشد.):
%WinDir%\system32\lphcc01j0e77r.exe
%WinDir%\system32\blphcco1j0e77r.scr
%WinDir%\system32\phcco1j0e77r.bmp
در آخرين گونه مشاهده شده در ايران، نام فايل اصلی ويروس lphcp89j0erea.exe گزارش شده است.
همچنين اين ويروس، با تعريف کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "lphcco1j0e77r" = %WinDir%\System32\lphcco1j0e77r.exe
از ديگر خرابکاری های اين ويروس دستکاری کليدهای زير در محضرخانه بمنظور تغيير تصوير پس زمينه (شماره های 1 و 2)، تغيير فايل مربوط به Screen Saver (شماره 3) و غيرفعال کردن بخش System Restore سيستم عامل (شماره 4) می باشد:
1-HKEY_CURRENT_USER\Control Panel\Desktop "OriginalWallpaper" = %WinDir%\System32\phcco1j0e77r.bmp
2- HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = %WinDir%\System32\phcco1j0e77r.bmp
3- HKEY_CURRENT_USER\Control Panel\Desktop "SCRNSAVE.EXE" = %WinDir%\System32\blphcco1j0e77r.scr
4- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore "DisableSR" = 0
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های
Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.