معرفی بدافزار
به طور کلی این جاسوسافزار برای دزدی اطلاعات از برنامههای نصب شده در ماشین قربانی طراحی شده است؛ برای نمونه اطلاعات مرورگرها، کلاینتهای نامه الکترونیک، FTP، مدیریت فایل و غیره. با توجه به رفتارهای این جاسوسافزار میتوان گفت که این بدافزار نسخه جدیدی از تروجان Lokibot است. این بدافزار در ابتدای اجرا از تمامی ظرفیت CPU استفاده میکند و کمی پس از آغاز به کار، پردازهای همنام خود اجرا و سپس فایل را از دیسک حذف میکند.
شناسایی سیستم آلوده از طریق لاگهای شبکه
- تمامی سیستمهایی از شبکه که با نام دامنههای <random IP>\<random name>\fre.php در ارتباط باشند.
- تمامی سیستمهایی از شبکه که با دامنههای 185.165.29.0/24 در ارتباط باشند.
بررسی وجود آلودگی
1. وجود کلید زیر در رجیستری ویندوز که مقدار آن به نام فایلی در AppData، که مقداری تصادفی است تنظیم شده است.
HKEY_CURRENT_USER\<random ip>/<random name>/fre.php
2. وجود فایل و فولدری با نام مشخص شده در کلید رجیستری فوق در مسیر %AppData%\Roamng
3. وجود فایلی در مسیر C:\Windows\Prefetch\<file name>-<random value>.pf
4. وجود فایلی در مسیر
%AppData%Roaming\Microsoft\Crypto\<random name folder>\<random name file>
که در محتوای این فایل، نام کاربر سیستم به صورت متن آشکار قابل مشاهده است.
نحوه پاکسازی سیستم
1. حذف فایلها و کلید رجیستری ایجاد شده در قسمت فوق.
2. منع ارتباط با دامنههای 185.165.29.0/24 و <random IP>\<random name>\fre.php
بررسی پاک بودن سیستم
1. نبود کلید زیر در رجیستری ویندوز:
HKEY_CURRENT_USER\<random ip>/<random name>/fre.php
2. نبود فایلهایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
3. نبود ارتباط با دامنههای 185.165.29.0/24 و <random IP>\<random name>\fre.php
توصیههای امنیتی برای پیشگیری
1. خودداری از باز کردن مستندات الحاق شده به ایمیلهای ناشناس و ...
2. غیرفعال کرن ماکروها در مستندات
3. بهروز بودن نرمافزار ضدبدافزار نصب شده بر روی سیستم
4. مسدودسازی دسترسی به دامنههای *\fre.php و 185.165.29.0/24 توسط مدیر شبکه
- 3