مارمولک کمیاب ایرانی !
بدافزاری ایرانی، موسوم به مارمولک، شناسایی شده که از طریق داده های تایپ شده در صفحه کلید، اقدام به جمع آوری اطلاعات قربانی می کند.
این بدافزار که در گروه اسب های تروا (Trojan Horse) قرار می گیرد توسط ضدویروس های McAfee و Bitdefender به ترتیب با نام های !Keylog-FAG و Backdoor.Generic.37754 شناسایی می شود.
ابتدا آزمایشگاه شرکت McAfee بود که از کشف و شناسایی بدافزار مارمولک خبر داد. به دنبال آن، مرکز ماهر نیز بر اساس این اطلاعات، اقدام به انتشار اطلاعیه ای نمود. تاکنون گزارشی از آلودگی به این بدافزار دریافت نشده و تنها به دلیل نام بدافزار و اطلاعیه مرکز ماهر، این بدافزار توانسته نظر رسانه های عمومی را به خود جلب کند.
بدافزار مارمولک برای اولین بار در یک تالار گفتگو (Forum) به شکل زیر مشاهده و شناسایی شد.
بدافزار مارمولک، به محض اجرا شدن، فایل مخرب خود را با نام Mcsng.exe در پوشه System32 کپی می کند. این بدافزار در ادامه، فایل دیگری به نام 1stmp.sys را در پوشه system32%\config% ایجاد می کند.
وظیفه فایل 1stmp.sys نگهداری اطلاعات وارد شده از طریق صفحه کلید است. این بدافزار با ضبط کلیدهای زده شده توسط کاربر، آنها را با استفاده از الگوریتم Selective Encryption رمزنگاری و در فایل مزبور ذخیره می کند.
در نهایت داده های جمع آوری شده به همراه نام کامپیوتر و نام کاربری قربانی با فرمان Sendmail به نشانی Marmoolak@red-move.tk ارسال می گردد. دامنه red-move.tk یکی از دامنه های رایج در خاورمیانه برای نگهداری و تبادل بدافزار می باشد. محصولات امنیتی McAfee این دامنه را به عنوان یک دامنه مخرب شناسایی می کند.
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا و هرزنامه ها، همگی می توانند خطر آلوده شدن به اين بدافزار و يـا گونه های مشابه را به حداقل برسانند.
یک پاسخ
به نظر به خاطر اسمش این همه معروف شد و اگر نه چیز خاصی نداشت،شاید اگر از یک سیستم جمع اوری کلمات خاص پیروی می کرد و یا یک دسترسی هم ایجاد می کرد خیلی بهتر و می تونست یک مدیریت کامل بر روی قربانی هاش بدست بیاره ،اما ای کاش در مورد روش انتشارش هم توضیحی می دادید که البته فکر کنم مثل همیشه توسط یک فایل اجرایی ارسال بشه…