‫ بررسی بدافزار Quimitchin

Quimitchinاولین بدافزار کشف شده برای سامانه‌های مک در سال 2017 است، این بد افزار به ظاهر خیلی ساده می‌باشد زیرا که از دو فایل .plistو .clientتشکیل شده است. فایل plist  عامل راه انداز بدافزار می‌باشد و فایل .clientرا همیشه در حال اجرا نگه می‌دارد. این بدافزار شامل فایل‌های دیگری است که به زبان پرل نوشته شده‌اند و از طریق همین اسکریپت‌ها با سرور کنترل خود ارتباط برقرار می‌کند. این اسکریپت همچنین شامل برخی از کدها برای گرفتن عکس از صفحه نمایش از طریق دستورات shellو بدست آوردن مدت زمان روشن ماندن سیستم می‌باشد.

جالب ترین بخش از این اسکریپت، قسمت  DATAاست که در این قسمت سه فایل Mach-o( فایل باینری مک)، یک اسکریپت پرل و یک کلاس جاوا با یکدیگر ترکیب می‌شوند. کلاس جاوا استفاده شده، به نظر می‌رسد قادر به دریافت دستورات برای  انجام کارهای مختلف  که شامل یکی دیگر از شیوه‌های عکس گرفتن از صفحه نمایش، گرفتن اندازه صفحه نمایش و اشاره‌گر موقعیت ماوس، تغییر موقعیت ماوس، شبیه‌سازی کلیک‌های ماوس و شبیه سازی پرس‌های کلیدی است.

همچنین مشاهده شده است بدافزار حین اجرا در حال دانلود یک اسکریپت دیگر به نام "macsvc" از سرور کنترل کننده خود است. این اسکریپت از mDNSبه منظور تهیه نقشه‌ای از تمام دستگاه‌های دیگر بر روی شبکه محلی و دادن اطلاعات در مورد تجهیزات موجود در شبکه از جمله IPv6 ،IPv4  و نام آن بر روی شبکه و پورتی که در حال استفاده از آن است، میباشد. همچنین علاوه بر فایل "macsvc"، یک فایل دیگر با نام "afpscan" دانلود می‌شود که تلاش می‌کند تا به دستگاه‌های موجود در شبکه متصل گردد.

 

دانلود متن کامل


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

تاریخ ایجاد: 15 آبان 1396

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0