شناسایی بد‌افزاری که از طریق ارسال هرزنامه منتشر می‌شود

کارشناسان امنیتی به تازگی باج افزاری را شناسایی کرده‌اند که به صورت یک فایل زیپ شده بوده و حاوی یک سند PDF است. اما هنگام استخراج،‌ به یک برنامه قابل اجرا تبدیل می‌شود که قادر است مخفیانه به سرور‌های از راه دور متصل شده و فایل‌ها را داخل دستگاه آلوده دانلود کند. در طول پروسه آنالیز،‌ یکی از فایل‌های دانلود شده سعی می‌کند هرزنامه‌هایی را از طریق دستگاه آلوده ارسال کند.

هنگام اجرای فایل مذکور، به نظر می‌رسد که فایل صدمه دیده و یک پیغام خطا را به کاربر نشان می‌دهد.

اما در پشت صحنه،‌ این برنامه یک کد مخرب را در طول فرآیند اجرا درون دستگاه تزریق می‌کند. همچنین، به صورت مخفیانه به سرور‌های از راه دور (که عمدتاً در ایالات متحده، بریتانیا و ژاپن مستقر هستند) متصل می‌شود.

در صورت موفقیت اتصال به سرور‌های از راه دور، فایل‌هایی را دانلود کرده و آنها را داخل دستگاه مورد حمله ذخیره می‌کند. یک فایل روی داخل پروفایل کاربر ذخیره می‌شود و از فایل با فرمت PDF جهت پنهان کردن این حقیقت که فایل در واقع یک برنامه قابل اجراست، استفاده می‌کند.

 سپس بد‌افزار رجیستری را اصلاح می‌کند، طوری که فایل به صورت خودکار بر روی راه اندازی سیستم (system startup) اجرا شود.

در ادامه، فایل‌های اسم گذاری شده‌ای (برای مثال، ’25.tmp’) داخل فولدر موقتی ذخیره می‌شود.

در رجیستری، تروجان تنظیمات مربوط به پروکسی سرور را به آدرس محلی تغییر می‌دهد. این تغییرات به صورت معمول با اتصال عادی کاربر به اینترنت تداخل دارند.

‌ در طول تجزیه و تحلیل، مشاهده شد که فایل 25.tmp یک برنامه اجرایی استخراج خودکار است که تلاش می‌کند به سرور‌های مختلف SMTP متصل شود.

در صورت موفقیت اتصال، این برنامه هرزنامه‌هایی را به یک لیست از آدرس‌های ایمیلی که از طریق سرور‌های ریموت دانلود کرده، ارسال می‌کند.