شماره: IRCNE2013071903
تاريخ:26/04/92
با توجه به يافته هاي محققان امنيتي از شركت ترند ميكرو، يك نسخه جديد از بدافزار آلوده كننده فايل ها كه از طريق حملات دانلود فايل هاي آلوده توزيع مي يابد نيز قادر است تا اعتبارنامه هاي FTP را به سرقت ببرد.
محققان شركت ترند ميكرو اظهار داشتند كه اين نسخه تازه كشف شده، بخشي از خانواده PE_EXPIRO مي باشد كه در سال 2010 شناسايي شده است. با اين حال، كار سرقت اطلاعات اين نسخه، براي اين نوع بدافزار غيرعادي است.
اين تهديد جديد توسط فريب كاربران به مشاهده وب سايت هاي خرابكار توزيع مي شود. اين سايت هاي خرابكار ميزبان كدهاي سوء استفاده جاوا و PDF مي باشند. در صورتي كه پلاگين هاي مرورگر بازديد كننده به روز نباشد، اين بدافزار بر روي سيستم بازديدكننده نصب خواهد شد.
كدهاي سوء استفاده جاوا مربوط به آسيب پذيري هاي اجراي كد از راه دور CVE-2012-1723 و CVE-2013-1493 مي باشند كه توسط اوراكل در ژوئن سال 2012 و مارس سال 2013 اصلاح شده اند.
هنگامي كه گونه جديد EXPIRO بر روي سيستمي اجرا شود، به دنبال فايل هاي .exe مي گردد و فايل مخربي را به اين فايل ها اضافه مي كند. علاوه بر اين، اطلاعات مربوط به سيستم و كاربر را مانند اعتبارنامه هاي ورودي ويندوز جمع آوري مي كند و اعتبارنامه هاي FTP را از كلاينت FTP منبع باز FileZilla به سرقت مي برد.
اطلاعات به سرقت رفته در فايلي با پسوند .DLL ذخيره شده و براي سرورهاي كنترل و فرمان بدافزار ارسال مي شود.
محققان ترند ميكرو در يك پست الكترونيكي اظهار داشتند كه به نظر نمي رسد كه اين تهديد شركت هاي صنعتي خاصي را مورد هدف قرار داده باشد.
- 5