اخیراً کاربران شبکه اینترنت درگیر #باجافزار ی به نام Gandcrabبودند که از طریق ایمیل منتشر میشد. این باجافزار و بسیاری از بدافزارهای دیگر از خانوادهای بدافزاری به نام Phorpiex (یا Trick) برای انتشار خود استفاده میکنند. Phorpiexیک باتنت است که چندین سال است با استفاده از پروتکل IRCبا سرور فرماندهی و کنترل خود ارتباط برقرار میکند و فرمانهای بدخواهانه شامل دانلود سایر بدافزارها، ارسال ایمیل و کرک میل سرور را روی سیستم قربانیان اجرا میکند. Phorpiex بدافزار پیشرفته و پیچیدهای محسوب نمیشود اما به مدت ده سال است که فعال بوده و برای انتشار بسیاری از خانوادههای بدافزاری مورد استفاده قرار گرفته است.
تحلیل برخی از بدافزارهای این خانواده نشان دهنده آن است که مشخصات فایل pdb این بدافزار که در زمان کمپایل تولید شده در رشتههای برنامه موجود است. این رشته (C:\Users\x\Desktop\Home\Code\Trik v6.0 - WORK - doc\Release\Trik.pdb) در بسیاری از بدافزارها که مربوط به سالهای اخیر بودهاند قابل مشاهده است و به نظر میرسد این بدافزارها نیز توسط توسعه دهنده این خانواده بدافزاری توسعه داده شدهاند. نکته قابل توجه این است که اخیراً بدافزارهای دارای رشته مذکور با تکرار بالایی در سایت virustotalبارگذاری شدهاند که نشان دهنده آن است که احتمالاً این بدافزار به تازگی در کمپینهای فعال بدافزاری در حال استفاده شدن است.
گزارش تحلیل
بررسی این بدافزار نشان دهنده آن است که بدافزار کد خود را مبهمسازی نکرده است. در اولین مرحله پس از اجرا شدن، بدافزار نسخهای از خود را با یکی از نامهای winsvc.exe، Winsrvc.exe، winmgr.exe، Winsam.exeیا Windsrcn.exeدر یکی از سه دایرکتوری زیر کپی میکند:
- C:\Windows
- C:\Users\$USERNAME\%TEMP%
- C:\Users\$USERNAME\
بدافزار از روشهای سادهای برای گریز از تشخیص داده شدن و تحلیل استفاده کرده است.
دریافت کامل گزارش تحلیلی
- 13