محققان از شناسایی باجافزاری با عنوان Barack Obama’s Everlasting Blue Blackmail Virus خبر دادهاند که تنها بر روی رمزگذاری فایلهای با پسوند EXE تمرکز میکند. این باجافزار با نمایش پنجرهای حاوی تصویر باراک اوباما، رییس جمهور سابق آمریکا، در پیامی از قربانی درخواست “انعام” برای بازگردانی فایلهای رمز شده میکند!
به گزارش شرکت مهندسی شبکه گستر، باجافزار مذکور، بهمحض اجرا شدن، تلاش میکند تا پروسههای متعلق به محصولات ضدویروس را با اجرای فرمان taskkill و استفاده از دو سوییچ f /im/ متوقف کند.
در ادامه دستگاه برای یافتن فایلهای با پسوند EXE مورد پویش قرار میگیرد. حتی آن دسته از فایلهای EXE که در پوشه Windows قرار دارند نیز از گزند این باجافزار در امان نیستند. این در حالی است که در اکثر باجافزارها از فایلهای اجرایی EXE چشمپوشی شده و در موارد استثنایی هم که فایلهای EXE توسط باجافزار رمزگذاری میشوند، حداقل، پوشه Windows از گزند آن مصون میماند.
از دیگر خرابکاریهای این باجافزار دستدرازی به کلیدهای مرتبط با فایلهای EXE در محضرخانه (Registry) است. هدف از این کار تغییر نشان (Icon) فایلهای EXE و اجرای باجافزار در هر بار فراخوانی شدن یک فایل با پسوند EXE است. تغییراتی که در محضرخانه ایجاد میشود بهشرح زیر است:
HKLM\SOFTWARE\Classes\exe
HKLM\SOFTWARE\Classes\exe\
HKLM\SOFTWARE\Classes\exe\EditFlags 2
HKLM\SOFTWARE\Classes\exe\DefaultIcon
HKLM\SOFTWARE\Classes\exe\DefaultIcon\ C:\Users\User\codexgigas_.exe,0
HKLM\SOFTWARE\Classes\exe\Shell
HKLM\SOFTWARE\Classes\exe\Shell\Open
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command\ “C:\Users\User\codexgigas_.exe” “%1”
در اطلاعیه باجافزار نیز از قربانی خواسته میشود تا از طریق نشانی زیر با مهاجمان تماس برقرار کند:
2200287831@qq.com
توضیح اینکه نمونه معرفی شده در این خبر با نامهای زیر قابل شناسایی میباشد:
Bitdefender:
– Trojan.GenericKD.31170650
McAfee:
– Artemis!16D202AAC280
Sophos:
– Mal/Generic-S