به گزارش شرکت مهندسی شبکه گستر به نقل از برخی منابع داخلی، بدافزار جدید Poshedo بر روی برخی سیستم های داخل کشور مشاهده شده است.
Poshedo بدافزاری از نوع اسب تروا است که اقدام به دریافت و نصب برنامه های مخرب دیگر بر روی دستگاه قربانی می کند.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس Symantec، این بدافزار دستگاه های با یکی از سیستم های عامل زیر را هدف قرار می دهد:
- Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008.
- Windows 95, Windows 98, Windows Me, Windows XP, Windows Vista, Windows 7.
فایل اصلی Poshedo که یک میانبر دستکاری شده Windows است در قالب فایل RAR و از طریق هرزنامه ها (Spam) منتشر می شود. فایل های میانبر با نام های زیر گزارش شده است:
- Full Order.lnk
- Jan_2016_Order_Sheet.lnk
- sample.lnk
- COMMERCIALINVOICE.jpg.lnk
- Order Specification.lnk
- Refund.lnk
- Scan_073.lnk
- Contract.lnk
- PO_Specification.lnk
- Quotation.lnk
- NewProductOrder.txt.lnk
- TTcopy-copy.lnk
- NewProductOrder.txt.lnk
- Scan_020.lnk
- liste confidentiel.lnk
- Item_list_01.lnk
- Order Specification.lnk
- Order List.lnk
- article_draft.docx.lnk
به محض اجرا شدن هر یک از این فایل ها، بدافزار با بهره گیری از پروسه PowerShell فایل مخربی را دریافت و آن را در مسیر زیر ذخیره می کند:
%AppData%\[THREAT FILE NAME].exe
در زمان بررسی این بدافزار، عملیات دریافت با برقراری ارتباط با یکی از دامنه های زیر صورت می گرفته است:
- [http://]directexe.com/Xmm/bb.[REMOVED]
- [http://]sjc4911.com/.sql/mike[REMOVED]
- [http://]directexe.com/Xmm/bb.[REMOVED]
- [http://]aromkampanya.com/latin/wido[REMOVED]
- [http://]directexe.com/2D2A/bg.[REMOVED]
- [http://]secureemail.bz/ink[REMOVED]
- [http://]sjc4911.com/.sql/stanr[REMOVED]
- [http://]nevergreen.net/8[REMOVED]
- [http://]zohaibnadeemgroup.com/pic/harris[REMOVED]
- [http://]messystaging.com/.sql/mike[REMOVED]
- [http://]aromkampanya.com/sumo[REMOVED]
- [http://]tnservice.com.au/isp/ugogene[REMOVED]
- [http://]www.algerie-focus.com//wp-content/uploads/2016/02/01.[REMOVED]
- [http://]nevergreen.net/8[REMOVED]
- [http://]directexe.com/2D2A/bg.[REMOVED]
- [http://]nevergreen.net/6[REMOVED]
- [http://]online-dropbox.com/online/[REMOVED]
- [http://]droidgraphix.xyz/user02/iptoo[REMOVED]
- [http://]www.amspeconline.com/123/etna[REMOVED]
- [http://]jacoblennox.com/wp-includes/putt[REMOVED]
- [http://]hecforex.info/wp-includes/upd[REMOVED]
در ادامه فایل دریافت شده با استفاده از فرمان cmd.exe اجرا می شود.
استفاده از ضدویروس قدرتمند و به روز و بهره گیری از راهکارهای ضدهرزنامه در درگاه شبکه، در کنار آموزش کاربران در پرهیز از اجرا نمودن فایل های مشکوک می تواند احتمال آلودگی به این نوع بدافزارها را به حداقل برساند.
توضیح اینکه نمونه های گزارش شده از این بدافزار توسط ضدویروس McAfee با نام RDN/Generic Downloader.x کشف و شناسایی می شوند.