ورود باج افزار Cryptowall از طريق فايل‌های راهنمای مخرب

موج جديدی از ايميل‌های ناخواسته، هزاران صندوق پستی را توسط فايل‌های مخرب مورد حمله قرار داده است كه از ضمائم مخرب كه نوعی فايل كمكی می‌باشند برای انتشار باج افزارها Cryptowall استفاده می‌گردد.

Cryptowall نسخه جديد Cryptolocker می‌باشد كه نوعی باج افزار رمز كننده فايل می‌باشد كه رفتار ويروس گونه خود را به صورت فايل و برنامه‌های سالم و معتبر جلوه می‌دهد.

محققين بدافزار در آزمايشگاه شركت Bitdefender اظهار می‌دارند كه ارسال انبوه ايميل‌های ناخواسته در فوريه كاربران بسياری را در سراسر دنيا از جمله انگليس، آمريكا، هلند، دانمارك، سوئد، اسلواكی و استراليا مورد هدف قرار داده است. با پيشرفت تحقيقات مشخص گرديد كه سرورهای ارسال ايميل در ويتنام، هند، استراليا، رمانی و اسپانيا مستقر می‌باشند.

مدير استراتژی امنيت شركت Bitdefender اظهار داشت: ”مهاجمين از مؤثرترين روش‌ها برای اجرای خودكار بدافزارها بر روی سيستم قربانی استفاده و اطلاعات آنها را رمز می‌كنند.“ ايميل‌های جعلی ارسالی كه ادعا می‌كند از با آدرس شبكه سازمانی ارسال گشته حاوی فايل‌های اضافی ساختگی با فرمت HTML هستند كه به عنوان راهنمای برنامه‌های نرم افزاری برای كاربر ارسال می‌گردند. اين فايل‌ها به صورت تعاملی و با استفاده از فناوری‌ها JavaScript توليد شده است كه می‌تواند كاربر را به آدرس تارنمای بيرونی هدايت نمايد. مهاجمين با خودكارسازی روند اجرای بدافزار انتشار فايل‌های راهنمای ساختگی را امكان پذير نموده و با استفاده از اين روش تعاملات با كاربر كمتر و در نتيجه شانس نفوذ و آلودگی سيستم بيشتر خواهد بود.

فايل‌های HTML فشرده به صورت فايل باينری با پسوند chm. ارسال می‌گردد. فايل های با پسوند chm. از اسناد HTML، تصاوير و فايل‌های JavaScript ساخته می‌شود كه حاوی جداول متشكل از لينک‌های جستجوگر می‌باشند. محققان آزمايشگاه شركت Bitdefender معتقدند كه هدف مهاجمين از نفوذ به سيستم كاربران، دسترسی به شبكه‌های خصوصی سازمان‌های مختلف می‌باشد.

زمانيكه دسترسی به محتويات فايل chm. ممكن شد كدهای تخريبی از مسير http://*********/putty.exe دانلود و در مسير %temp%\natmasla2.exe ذخيره و بدافزار به طور خودكار اجرا می‌گردد. در طول اجرای بدافزار مذكور، پنجره اجرای فرامين ويندوز باز می‌گردد.

منبع: http://www.net-security.org/malware_news.php?id=2981

تاريخ: دوشنبه 18 اسفند 1393  ساعت: 13:55

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm