Home |

ورود باج افزار Cryptowall از طريق فايل‌هاي راهنماي مخرب

موج جديدي از ايميل‌هاي ناخواسته، هزاران صندوق پستي را توسط فايل‌هاي مخرب مورد حمله قرار داده است که از ضمائم مخرب که نوعي فايل کمکي مي‌باشند براي انتشار باج افزارها Cryptowall استفاده مي‌گردد.

Cryptowall نسخه جديد Cryptolocker مي‌باشد که نوعي باج افزار رمز کننده فايل مي‌باشد که رفتار ويروس گونه خود را به صورت فايل و برنامه‌هاي سالم و معتبر جلوه مي‌دهد.

محققين بدافزار در آزمايشگاه شرکت Bitdefender اظهار مي‌دارند که ارسال انبوه ايميل‌هاي ناخواسته در فوريه کاربران بسياري را در سراسر دنيا از جمله انگليس، آمريکا، هلند، دانمارک، سوئد، اسلواکي و استراليا مورد هدف قرار داده است. با پيشرفت تحقيقات مشخص گرديد که سرورهاي ارسال ايميل در ويتنام، هند، استراليا، رماني و اسپانيا مستقر مي‌باشند.

مدير استراتژي امنيت شرکت Bitdefender اظهار داشت: ”مهاجمين از مؤثرترين روش‌ها براي اجراي خودکار بدافزارها بر روي سيستم قرباني استفاده و اطلاعات آنها را رمز مي‌کنند.“ ايميل‌هاي جعلي ارسالي که ادعا مي‌کند از با آدرس شبکه سازماني ارسال گشته حاوي فايل‌هاي اضافي ساختگي با فرمت HTML هستند که به عنوان راهنماي برنامه‌هاي نرم افزاري براي کاربر ارسال مي‌گردند. اين فايل‌ها به صورت تعاملي و با استفاده از فناوري‌ها JavaScript توليد شده است که مي‌تواند کاربر را به آدرس تارنماي بيروني هدايت نمايد. مهاجمين با خودکارسازي روند اجراي بدافزار انتشار فايل‌هاي راهنماي ساختگي را امکان پذير نموده و با استفاده از اين روش تعاملات با کاربر کمتر و در نتيجه شانس نفوذ و آلودگي سيستم بيشتر خواهد بود.

فايل‌هاي HTML فشرده به صورت فايل باينري با پسوند chm. ارسال مي‌گردد. فايل هاي با پسوند chm. از اسناد HTML، تصاوير و فايل‌هاي JavaScript ساخته مي‌شود که حاوي جداول متشکل از لينک‌هاي جستجوگر مي‌باشند. محققان آزمايشگاه شرکت Bitdefender معتقدند که هدف مهاجمين از نفوذ به سيستم کاربران، دسترسي به شبکه‌هاي خصوصي سازمان‌هاي مختلف مي‌باشد.

زمانيکه دسترسي به محتويات فايل chm. ممکن شد کدهاي تخريبي از مسير http://*********/putty.exe دانلود و در مسير %temp%\\natmasla2.exe ذخيره و بدافزار به طور خودکار اجرا مي‌گردد. در طول اجراي بدافزار مذکور، پنجره اجراي فرامين ويندوز باز مي‌گردد.

منبع: http://www.net-security.org/malware_news.php?id=2981


تاريخ: دوشنبه 18 اسفند 1393  ساعت: