كشف نسخه‌ی جديدی از بدافزار Shamoon

كشف نسخه‌ی جديدی از بدافزار Shamoon

تاریخ ایجاد

شماره: IRCNE2012091611
تاريخ: 18/06/91

شركت امنيتي سيمانتك پس از كشف نوع جديدي از بدافزار Shamoon، هشدارهايي را منتشر كرد. اين نسخه جديد با عنوان W32.Disttrack توسط شركت سيمانتك كشف شده است و فايل ها را تخريب و حذف مي نمايد، هم چنين فايل MBR را تخريب كرده و پارتيشن هاي فعال ماشين آلوده شده را تغيير مي دهد.
در نسخه پيشين اين بدافزار، داده هاي ماشين آلوده شده از طريق بلوك هاي 192 كيلو بايتي كه با فلگ هاي مخرب پر شده بودند، بازنويسي مي شدند. نسخه جديد از همان سايز بلوك استفاده مي كند با اين تفاوت كه بلوك ها را با استفاده از داده هايي كه به طور تصادفي توليد مي شوند، پر مي كند.
زمان پاك كردن اطلاعات از يك فايل .pnf كه بر روي سيستم ايجاد شده است، خوانده مي شود. در اين بدفزار زمان به صورت دوره اي بررسي مي شود و سپس عمليات پاك كردن اجرا مي گردد.
اين بدافزار از طريق باز و بسته كردن فايل هاي زير به دنبال هدف خود مي گردد و از اين طريق نيز حق دسترسي ها را تعيين مي كند:

\\[TARGET IP]\ADMIN$\system32\csrss.exe
\\[TARGETIP]\C$\WINDOWS\system32\csrss.exe
\\[TARGETIP]\D$\WINDOWS\system32\csrss.exe
\\[TARGET IP]\E$\WINDOWS\system32\csrss.exe

با توجه به تيم امنيتي سيمانتك: " اگر اين بدافزار هدف خود را پيدا كند، خود را از راه دور در دايركتوري system32 كپي مي كند و تلاش مي كند تا خودش را با استفاده از فايل psexec.exe اجرا نمايد. اگر در اين مرحله موفق نشود، خودش را به عنوان يك سرويس از راه دور لود خواهد كرد."
هدف نسخه جديد بدافزار Shamoon، فولدرهايي است كه حاوي نام هاي دانلود، اسناد، عكس، موسيقي، ويدئو و روميزي است. اين بدافزار مي تواند خودش را از طريق به اشتراك گذاري در شبكه محلي گسترش دهد. به طور معمول، اين بدافزار كنترل تمامي اعتبارنامه هاي دامنه را در اختيار خودش مي گيرد و بدين ترتيب دسترسي تمامي ماشين هاي روي دامنه محلي را بدست مي آورد.

مطالب مرتبط:
پاك شدن فايل هاي كامپيوتر توسط بدافزار جديد Shamoon

برچسب‌ها