Convagent төрлийн хортой программ
Convagent хортой программ нь trojan-downloader-“Trojan болон adware-уудын хамгийн сүүлийн шинэчлэгдсэн хувилбаруудыг татаж суулгагч хорт программын төрөл” гэх ангиллын хортой код бөгөөд ийм төрлийн хор хөнөөлт программууд нь trojan8 болон adware-Хэрэглэгчийн төхөөрөмжид автоматаар зар сурталчилгаа харуулах төрлийн хортой программ-ийн хамгийн сүүлийн шинэчлэгдсэн хувилбаруудыг татаж суулгадаг. Хортой үйл ажиллагаа бүхий вебсайтууд, болон аль хэдийн эзлэгдсэн вебсайтууд руу хандалт хийж файл татаж байгаа хүмүүс энэ convagent хортой программын анхдагч халдварлагч болох тохиолдол түгээмэл байдаг.
Дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Convagent.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Convagent.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Convagent хортой кодыг хайна.
Жишээ нь:
• C дискээс Convagent хортой программыг хайх команд: "yara64.exe -r Convagent.yara C:\ 2>NUL"
• D дискээс Convagent хортой программыг хайх команд: "yara64.exe -r Convagent.yara D:\ 2>NUL"
import "hash"
rule Detect_Files_By_SHA256 {
meta:
description = "SHA-256 hash-aar olno"
author = "bilg"
date = "2023-10-30"
condition:
hash.sha256(0,filesize)==
"f60073bf66ee8f8a5ba488ec10477fe5cc99fe9626bf972d16609eb72e8be187"
}
Convagent хортой программын халдвар авсан системээс уг хортой программыг илрүүлж, цэвэрлэх болон системийг дахин уг хорт кодын халдварт өртөхөөс сэргийлэхийн тулд дараах зөвлөмжүүдийг хэрэгжүүлэх боломжтой. Үүнд:
• Convagent төрлийн хортой программыг ихэнх антивирусын программууд илрүүлж байгаа тул хост системд антивирусын программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх, системийн галт хана идэвхэжсэн байгаа эсэхийг шалгах.
• Хорт кодын үүсгэж байгаа файлууд, Регистрийн түлхүүрүүд хэсэгт байгаа файлуудыг цэвэрлэх.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг хийх, цаашдаа хийж байх сонголтыг тогтмол байдлаар идэвхжүүлэх.
• Энэ төрлийн программ нь вэб хүсэлтүүд илгээх болон интернэт хөтөчтэй их харьцдаг тул эхлээд компьютероо сүлжээнээс салгаж, доорх Кодыг Yara дүрмийг ашиглан Convagent төрлийн хортой кодыг илрүүлэх.