نماد سایت اتاق خبر شبکه گستر

باج‌افزاری که محتوای فایل‌های Word را هدف قرار می‌دهد

محققان باج‌افزار جدیدی با عنوان qkG شناسایی کرده‌اند که تنها محتوای فایل‌های Word باز شده بر روی دستگاه قربانی را هدف قرار می‌دهد.

به گزارش شرکت مهندسی شبکه گستر، نکته قابل توجه در خصوص این باج‌افزار، دست‌درازی آن به فایل قالب پیش‌فرض نرم‌افزار Word با نام normal.dot است. بطور پیش‌فرض هر فایل جدید در نرم‌افزار Word بر اساس این فایل ایجاد می‌شود.

باج‌افزار qkG از قابلیت ماکرو نیز در مجموعه نرم‌افزاری Office سوءاستفاده می‌کند؛ هر چند که بر خلاف اکثر باج‌افزارهای مطرح این روزها که از ماکرو صرفاً در نقش دریافت‌کننده و اجرا کننده فایل مخرب اصلی بهره‌جویی می‌کنند، qkG کل کد مخرب خود را در ماکرو تزریق کرده است.

زمانی که کاربر برای نخستین بار یک فایل آلوده شده به qkG را باز می‌کند لازم است که بر اساس تنظیمات پیش‌فرض در مجموعه نرم‌افزاری Office بر روی دگمه Enable Editing کلیک کند. این کار سبب به اجرا در آمدن ماکروی مخرب می‌شود.

باج‌افزار خرابکاری دیگری را تا زمان باز بودن فایل اعمال نمی‌کند. اما به‌محض بسته شدن فایل، دست‌درازی‌های زیر را بر روی دستگاه اعمال می‌کند:

پس از آن اجرای هر فایل Word دیگر بر روی دستگاه سبب رمزگذاری شدن محتوای آن می‌شود. ضمن اینکه اجرای هر یک از فایل‌های باز شده بر روی دستگاه دیگر سبب آلوده شدن آن دستگاه به باج‌افزار می‌گردد.

باج‌افزار qkG نام و پسوند فایل را تغییر نمی‌دهد.

خوشبختانه به نظر می‌رسد باج‌افزار مذکور هنوز به مراحل نهایی برنامه‌نویسی آن نرسیده و فعلاً در حال توسعه است.

توضیح اینکه نمونه‌های بررسی شده در این خبر با نام‌های زیر قابل شناسایی می‌باشد:

 

McAfee
   – RDN/Generic.dx

Bitdefender
   – Trojan.GenericKD.6202577
   – Trojan.GenericKD.12571797
   – Trojan.Msword.NYX

خروج از نسخه موبایل