en

‫ گزارش فنی بدافزار VBSpyware (WaterCooled/AfterGuns/…)

معرفی بدافزار
به طور کلی این جاسوس‌افزار برای دزدی اطلاعات از برنامه‌های نصب شده در ماشین قربانی طراحی شده است؛ برای نمونه اطلاعات مرورگرها، کلاینت‌های نامه الکترونیک، FTP، مدیریت فایل و غیره. با توجه به رفتارهای این جاسوس‌افزار می‌توان گفت که این بدافزار نسخه جدیدی از تروجان Lokibot است. این بدافزار در ابتدای اجرا از تمامی ظرفیت CPU استفاده می‌کند و کمی پس از آغاز به کار، پردازه‌ای هم‌نام خود اجرا و سپس فایل را از دیسک حذف می‌کند.

شناسایی سیستم آلوده از طریق لاگ‌های شبکه
• تمامی سیستم‌هایی از شبکه که با نام دامنه‌های <random IP>\<random name>\fre.php در ارتباط باشند.
• تمامی سیستم‌هایی از شبکه که با دامنه‌های 185.165.29.0/24 در ارتباط باشند.

بررسی وجود آلودگی
1. وجود کلید زیر در رجیستری ویندوز که مقدار آن به نام فایلی در AppData، که مقداری تصادفی است تنظیم شده است.
HKEY_CURRENT_USER\<random ip>/<random name>/fre.php
2. وجود فایل و فولدری با نام مشخص شده در کلید رجیستری فوق در مسیر %AppData%\Roamng
3. وجود فایلی در مسیر C:\Windows\Prefetch\<file name>-<random value>.pf
4. وجود فایلی در مسیر
%AppData%Roaming\Microsoft\Crypto\<random name folder>\<random name file>
که در محتوای این فایل، نام کاربر سیستم به صورت متن آشکار قابل مشاهده است.

نحوه پاک‌سازی سیستم
1. حذف فایل‌ها و کلید رجیستری ایجاد شده در قسمت فوق.
2. منع ارتباط با دامنه‌های 185.165.29.0/24 و <random IP>\<random name>\fre.php

بررسی پاک بودن سیستم
1. نبود کلید زیر در رجیستری ویندوز:
HKEY_CURRENT_USER\<random ip>/<random name>/fre.php
2. نبود فایل‌هایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
3. نبود ارتباط با دامنه‌های 185.165.29.0/24 و <random IP>\<random name>\fre.php

توصیه‌های امنیتی برای پیشگیری
1. خودداری از باز کردن مستندات الحاق شده به ایمیل‌های ناشناس و ...
2. غیرفعال کرن ماکروها در مستندات
3. به‌روز بودن نرم‌افزار ضدبدافزار نصب شده بر روی سیستم
4. مسدودسازی دسترسی به دامنه‌‌های *\fre.php و 185.165.29.0/24 توسط مدیر شبکه


The Wall

No comments
You need to sign in to comment