‫ گزارش فنی بدافزار VBSpyware (WaterCooled/AfterGuns/…)

معرفی بدافزار
به طور کلی این جاسوس‌افزار برای دزدی اطلاعات از برنامه‌های نصب شده در ماشین قربانی طراحی شده است؛ برای نمونه اطلاعات مرورگرها، کلاینت‌های نامه الکترونیک، FTP، مدیریت فایل و غیره. با توجه به رفتارهای این جاسوس‌افزار می‌توان گفت که این بدافزار نسخه جدیدی از تروجان Lokibot است. این بدافزار در ابتدای اجرا از تمامی ظرفیت CPU استفاده می‌کند و کمی پس از آغاز به کار، پردازه‌ای هم‌نام خود اجرا و سپس فایل را از دیسک حذف می‌کند.

شناسایی سیستم آلوده از طریق لاگ‌های شبکه
•    تمامی سیستم‌هایی از شبکه که با نام دامنه‌های <random IP>\<random name>\fre.php در ارتباط باشند.
•    تمامی سیستم‌هایی از شبکه که با دامنه‌های 185.165.29.0/24 در ارتباط باشند.

بررسی وجود آلودگی
1.    وجود کلید زیر در رجیستری ویندوز که مقدار آن به نام فایلی در AppData، که مقداری تصادفی است تنظیم شده است.
HKEY_CURRENT_USER\<random ip>/<random name>/fre.php
2.    وجود فایل و فولدری با نام مشخص شده در کلید رجیستری فوق در مسیر %AppData%\Roamng
3.    وجود فایلی در مسیر C:\Windows\Prefetch\<file name>-<random value>.pf
4.    وجود فایلی در مسیر
 %AppData%Roaming\Microsoft\Crypto\<random name folder>\<random name file>
که در محتوای این فایل، نام کاربر سیستم به صورت متن آشکار قابل مشاهده است.

نحوه پاک‌سازی سیستم
1.    حذف فایل‌ها و کلید رجیستری ایجاد شده در قسمت فوق.
2.    منع ارتباط با دامنه‌های 185.165.29.0/24 و <random IP>\<random name>\fre.php

بررسی پاک بودن سیستم
1.    نبود کلید زیر در رجیستری ویندوز:
HKEY_CURRENT_USER\<random ip>/<random name>/fre.php
2.    نبود فایل‌هایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
3.    نبود ارتباط با دامنه‌های 185.165.29.0/24 و <random IP>\<random name>\fre.php

توصیه‌های امنیتی برای پیشگیری
1.    خودداری از باز کردن مستندات الحاق شده به ایمیل‌های ناشناس و ...
2.    غیرفعال کرن ماکروها در مستندات
3.    به‌روز بودن نرم‌افزار ضدبدافزار نصب شده بر روی سیستم
4.    مسدودسازی دسترسی به دامنه‌‌های *\fre.php و 185.165.29.0/24 توسط مدیر شبکه

 

 


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

تاریخ ایجاد: 25 مهر 1396

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0