شناسایی بدافزاری که از طریق ارسال هرزنامه منتشر میشود
کارشناسان امنیتی به تازگی باج افزاری را شناسایی کردهاند که به صورت یک فایل زیپ شده بوده و حاوی یک سند PDF است. اما هنگام استخراج، به یک برنامه قابل اجرا تبدیل میشود که قادر است مخفیانه به سرورهای از راه دور متصل شده و فایلها را داخل دستگاه آلوده دانلود کند. در طول پروسه آنالیز، یکی از فایلهای دانلود شده سعی میکند هرزنامههایی را از طریق دستگاه آلوده ارسال کند.
هنگام اجرای فایل مذکور، به نظر میرسد که فایل صدمه دیده و یک پیغام خطا را به کاربر نشان میدهد.
اما در پشت صحنه، این برنامه یک کد مخرب را در طول فرآیند اجرا درون دستگاه تزریق میکند. همچنین، به صورت مخفیانه به سرورهای از راه دور (که عمدتاً در ایالات متحده، بریتانیا و ژاپن مستقر هستند) متصل میشود.
در صورت موفقیت اتصال به سرورهای از راه دور، فایلهایی را دانلود کرده و آنها را داخل دستگاه مورد حمله ذخیره میکند. یک فایل روی داخل پروفایل کاربر ذخیره میشود و از فایل با فرمت PDF جهت پنهان کردن این حقیقت که فایل در واقع یک برنامه قابل اجراست، استفاده میکند.
سپس بدافزار رجیستری را اصلاح میکند، طوری که فایل به صورت خودکار بر روی راه اندازی سیستم (system startup) اجرا شود.
در ادامه، فایلهای اسم گذاری شدهای (برای مثال، ’25.tmp’) داخل فولدر موقتی ذخیره میشود.
در رجیستری، تروجان تنظیمات مربوط به پروکسی سرور را به آدرس محلی تغییر میدهد. این تغییرات به صورت معمول با اتصال عادی کاربر به اینترنت تداخل دارند.
در طول تجزیه و تحلیل، مشاهده شد که فایل 25.tmp یک برنامه اجرایی استخراج خودکار است که تلاش میکند به سرورهای مختلف SMTP متصل شود.
در صورت موفقیت اتصال، این برنامه هرزنامههایی را به یک لیست از آدرسهای ایمیلی که از طریق سرورهای ریموت دانلود کرده، ارسال میکند.