نماد سایت اتاق خبر شبکه گستر

انتشار جاسوس‌افزار “دادسرا”

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) از شناسایی بدافزاری از نوع جاسوس‌افزار در ایران خبر داده است. این بدافزار از نشانی (Icon) مشابه نشان مورد استفاده برای نمایش پوشه‌ها در سیستم عامل Windows استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشه‌ای حاوی اطلاعات الکترونیکی دادسرا می‌کند؛ در صورتی که جاسوس‌افزار مخفی شده در شکل پوشه است.

به گفته این مرکز، هدف اصلی این جاسوس‌افزار، سرقت اطلاعات قربانی به خصوص اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده، رویدادهای موشواره، گرفتن تصاویر از سیستم، محتوای کلیپ‌بورد و برنامه‌های اجرا شده است.

به گزارش شرکت مهندسی شبکه گستر به نظر می‌رسد این جاسوس‌افزار در قالب ایمیل‌هایی با عنوان “دادخواست، بخش جزائی” کاربران ایرانی را هدف قرار داده است. تصویر زیر نمونه‌ای از این ایمیل‌ها را نمایش می‌دهد.

مرکز ماهر، وجود علائم زیر را نشانه وجود آلودگی در سطح شبکه یا بر روی دستگاه اعلام کرده است:

تمامی سیستم‌هایی از شبکه که با نشانی ftp://files.000webhost.com/public_html/Kl36z0fHjrKlemente602KA1 در ارتباط باشند. با توجه به این که ممکن است بدافزار از سرورهای FTP دیگری برای ارسال اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستم‌های میزبان نیز در نظر گرفته شود.

وجود پوشه‌ای در مسیر زیر بر روی سیستم:

%AppData%Roaming\Adobe\Flash player\AFCache

که در آن فایلی با نام syslog<date>.dat و پوشه‌ای دیگر با نام err قرار گرفته‌اند.

وجود فایلی با مشخصات زیر در سیستم:

%AppData%Roaming\Adobe\HostService.exe

وجود زیرکلیدی با نام HostService – که مقدار آن مشخصات فایل معرفی شده در قسمت 2 است – در مسیر محضرخانه (Registry):

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

وجود کلید در مسیرهای زیر در محضرخانه:

HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe

مشروح گزارش مرکز ماهر در اینجا قابل دریافت و مطالعه است.

لازم به ذکر است نمونه بررسی شده توسط شرکت مهندسی شبکه گستر با نام‌های زیر قابل شناسایی می‌باشد:

McAfee
   – RDN/Generic.dx

Bitdefender
   – Gen:Variant.Strictor.16771

خروج از نسخه موبایل