گزارش تحلیلی بدافزار VBSpyware (WaterCooled/AfterGuns/…)

گزارش تحلیلی بدافزار VBSpyware (WaterCooled/AfterGuns/…)

تاریخ ایجاد

این نمونه بدافزار، جاسوس‌افزاری است که اخیراً در دامنه‌‌ای منسوب به ایران مشاهده شده است. هدف این جاسوس‌افزار، سرقت و جاسوسی اطلاعات کاربر شامل حساب‌های کاربری، رمزهای عبور، اطلاعات صفحات وب، نامه‌های الکترونیک و غیره است. مبدا اصلی این جاسوس‌افزار یک فایل اکسل آلوده با نام catalog-list و چکیده sha256 (304c6f454f0efca218002c12009518c27e63186dd5de57b652cf2d4d14c7f0) است که حاوی ماکروهایی به زبان ویژوال بیسیک و مبهم‌سازی شده است. در صورتی که در سیستم قربانی امکان اجرای ماکروها فعال باشد، پس از باز کردن فایل اکسل، پردازه Powershell اجرا و فرمان نشان داده شده در شکل 1 اجرا می‌شود که مسئول دانلود فایل quote.exe از آدرس 185.165.29.49 است.

دانلود پیوست

برچسب‌ها