کاربران و سازمان‌های ایرانی، هدف نسخه جدید بدافزار VJw0rm

در هفته‌های اخیر نسخه جدیدی از بدافزار VJw0rm کاربران و مؤسسات ایرانی را هدف حملات خود قرار داده است.

به گزارش شرکت مهندسی شبکه گستر، روش انتشار این بدافزار بهره‌گیری از حافظه‌های جداشدنی موسوم به USB Flash است. بدین نحوه که علاوه بر کپی دو نمونه از خود بر روی حافظه متصل به دستگاه آلوده‌شده، تمامی پوشه‌ها و فایل‌های موجود بر روی آن را مخفی نموده و به ازای هر یک از آنها یک میانبر (Shortcut) ایجاد می‌کند.

اجرای میانبر موجب فراخوانی فایل مخرب موجود در حافظه USB Flash و سپس اجرای فایل / پوشه اصلی می‌شود. با توجه به عدم نمایش فایل‌ها و پوشه‌های مخفی و سیستمی در حالت پیش‌فرض و نظر به اجرا شدن فایل یا پوشه مورد نظر کاربر احتمال مشکوک شدن کاربر به آلوده بودن حافظه تا حد بسیار زیادی کاهش می‌یابد.

در ادامه بدافزار اقدام به کپی نسخه‌ای از خود در مسیرهای زیر می‌کند:

  • %Temp%
  • %UserProfile%\Downloads

VJw0rm با ایجاد کلید زیر در محضرخانه (Registry) موجب اجرای خودکار خود در هر بار راه‌اندازی شدن سیستم عامل می‌گردد.

دو نمونه از فایل مخرب VJw0rm نیز در پوشه %Startup% کپی می‌شود که مکانیزمی دیگر برای اجرای خودکار بدافزار است.

همچنین از طریق پروسه معتبر wscript.exe کلیدی تحت عنوان VJw0rm با مقدار False در مسیر HKEY_CURRENT_USER ایجاد می‌شود.

از دیگر دست‌درازی‌های VJw0rm می‌توان به ایجاد یک فرمان زمانبندی شده با عنوان Skype اشاره کرد که وظیفه آن اجرای فایل مخرب هر 30 دقیقه یکبار است.

همچنین در این نسخه، بدافزار اقدام به برقراری ارتباط با نشانی lalik.linkpc[.]net بر روی درگاه 76 می‌کند. به‌نظر می‌رسد نشانی مذکور متعلق به سایتی هک شده است که مهاجمان از آن به‌عنوان سرور فرماندهی این نسخه از VJw0rm استفاده می‌کنند.

استفاده از ضدویروس به روز و قدرتمند و بکارگیری محصولات موسوم به Device Control می تواند سازمان را از گزند این تهدیدات ایمن نگاه دارد.

نمونه بررسی شده در این خبر توسط ضدویروس های McAfee و Bitdefender به ترتیب با نام های JS/Agent.b و Trojan.JS.Agent.TMZ قابل شناسایی است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *