گزارش تحلیلی بدافزار Phorpiex

گزارش تحلیلی بدافزار Phorpiex

تاریخ ایجاد

اخیراً کاربران شبکه اینترنت درگیر #‫باج‌افزار ی به نام Gandcrabبودند که از طریق ایمیل منتشر می‌شد. این باج‌افزار و بسیاری از بدافزارهای دیگر از خانواده‌ای بدافزاری به نام Phorpiex (یا Trick) برای انتشار خود استفاده می‌کنند. Phorpiexیک بات‌نت است که چندین سال است با استفاده از پروتکل IRCبا سرور فرماندهی و کنترل خود ارتباط برقرار می‌کند و فرمان‌های بدخواهانه شامل دانلود سایر بدافزارها، ارسال ایمیل و کرک میل سرور را روی سیستم قربانیان اجرا می‌کند. Phorpiex بدافزار پیشرفته و پیچیده‌‌ای محسوب نمی‌شود اما به مدت ده سال است که فعال بوده و برای انتشار بسیاری از خانواده‌های بدافزاری مورد استفاده قرار گرفته است.
تحلیل برخی از بدافزارهای این خانواده نشان دهنده آن است که مشخصات فایل pdb این بدافزار که در زمان کمپایل تولید شده در رشته‌های برنامه موجود است. این رشته (C:\Users\x\Desktop\Home\Code\Trik v6.0 - WORK - doc\Release\Trik.pdb) در بسیاری از بدافزارها که مربوط به سال‌های اخیر بوده‌اند قابل مشاهده است و به نظر می‌رسد این بدافزارها نیز توسط توسعه دهنده این خانواده بدافزاری توسعه داده شده‌اند. نکته قابل توجه این است که اخیراً بدافزارهای دارای رشته مذکور با تکرار بالایی در سایت virustotalبارگذاری شده‌اند که نشان دهنده آن است که احتمالاً این بدافزار به تازگی در کمپین‌های فعال بدافزاری در حال استفاده شدن است.

گزارش تحلیل
بررسی این بدافزار نشان دهنده آن است که بدافزار کد خود را مبهم‌سازی نکرده است. در اولین مرحله پس از اجرا شدن، بدافزار نسخه‌ای از خود را با یکی از نام‌های winsvc.exe، Winsrvc.exe، winmgr.exe، Winsam.exeیا Windsrcn.exeدر یکی از سه دایرکتوری زیر کپی می‌کند:

  • C:\Windows
  • C:\Users\$USERNAME\%TEMP%
  • C:\Users\$USERNAME\

بدافزار از روش‌‌های ساده‌ای برای گریز از تشخیص داده شدن و تحلیل استفاده کرده است.
دریافت کامل گزارش تحلیلی

برچسب‌ها