راهکار مقابله
جاسوسی از طریق فایل دادسرا کشف شد
چهارشنبه ۳ آبان ۱۳۹۶ ساعت ۱۴:۱۷
کد مطلب: 560320
به گزارش جهان نيوز به نقل از تسنیم، بدافزار E_Dadsara نمونهای جاسوسافزار به حساب میآید که اخیرا در ایران مشاهده شده و از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها (Folders) در ویندوز استفاده میکند.
کاربران با توجه به عنوان جالب توجهی (اطلاعات الکترونیکی دادسرا) که برای آن در نظر گرفته شده راغب به باز کردن فایل میشوند، در صورتیکه نسبت به جاسوسافزار بودن آن غافل هستند.
هدف اصلی این جاسوسافزار براساس واکاوی که از آن صورت گرفته، سرقت اطلاعات قربانی به خصوص اطلاعات حسابهای بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، عکس گرفتن از سیستم قربانی و ضبط برنامههای اجرا شده است.
نحوه شناسایی سیستم آلوده از طریق لاگهای شبکه
تمامی سیستمهایی از شبکه که با آدرس ftp://files.000webhost.com/public_html/Kl36z0fHjrKlemente602KA1/ در ارتباط باشند (با توجه به اینکه ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستمهای میزبان نیز در نظر گرفته شود).
راهکار بررسی وجود آلودگی براساس گزارش ماهر نیز به این شرح است:
1. وجود پوشهای در مسیر زیر در سیستم:
%AppData%Roaming\Adobe\Flash player\AFCache
که در آن فایلی با نام syslog.dat و پوشهای دیگر با نام err قرار گرفتهاند.
2. وجود فایلی با مشخصات زیر در سیستم:
%AppData%Roaming\Adobe\HostService.exe
3. وجود زیرکلیدی با نام HostService (که مقدار آن مشخصات فایل معرفی شده در قسمت 2 است) در مسیر رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run
4. وجود کلید رجیستری در مسیرهای زیر:
HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe
نحوه پاکسازی سیستم نیز به این شرح است:
1. پایان دادن به پردازه HostService.exe در صورتیکه سیستم در حال اجرای آن است.
2. حذف فایلها و کلید رجیستری ایجاد شده (در صورت وجود) که در قسمت قبلی به آن اشاره شده است.
برای بررسی پاک بودن سیستم باید به این راهکارها توجه کرد:
1. نبود مقدار زیر در کلید رجیستری ویندوز:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService
2. نبود فایلهایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
3. نبود ارتباطات FTP که در فرآیند احراز هویت، از نام کاربری solmondesigner استفاده شده باشد.
توصیههای امنیتی که برای پیشگیری ارائه شده نیز به شرح زیر است:
1. خودداری از باز کردن مستندات الحاق شده به ایمیلهای ناشناس و...
2. بهروز بودن نرمافزار ضدبدافزار نصب شده بر روی سیستم
3. فعال کردن ویژگی نمایش پسوند فایلها در ویندوز و احتیاط در اجرای فایلهای دارای پسوند
هدف اصلی این جاسوسافزار براساس واکاوی که از آن صورت گرفته، سرقت اطلاعات قربانی به خصوص اطلاعات حسابهای بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، عکس گرفتن از سیستم قربانی و ضبط برنامههای اجرا شده است.
نحوه شناسایی سیستم آلوده از طریق لاگهای شبکه
تمامی سیستمهایی از شبکه که با آدرس ftp://files.000webhost.com/public_html/Kl36z0fHjrKlemente602KA1/ در ارتباط باشند (با توجه به اینکه ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستمهای میزبان نیز در نظر گرفته شود).
راهکار بررسی وجود آلودگی براساس گزارش ماهر نیز به این شرح است:
1. وجود پوشهای در مسیر زیر در سیستم:
%AppData%Roaming\Adobe\Flash player\AFCache
که در آن فایلی با نام syslog.dat و پوشهای دیگر با نام err قرار گرفتهاند.
2. وجود فایلی با مشخصات زیر در سیستم:
%AppData%Roaming\Adobe\HostService.exe
3. وجود زیرکلیدی با نام HostService (که مقدار آن مشخصات فایل معرفی شده در قسمت 2 است) در مسیر رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run
4. وجود کلید رجیستری در مسیرهای زیر:
HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe
نحوه پاکسازی سیستم نیز به این شرح است:
1. پایان دادن به پردازه HostService.exe در صورتیکه سیستم در حال اجرای آن است.
2. حذف فایلها و کلید رجیستری ایجاد شده (در صورت وجود) که در قسمت قبلی به آن اشاره شده است.
برای بررسی پاک بودن سیستم باید به این راهکارها توجه کرد:
1. نبود مقدار زیر در کلید رجیستری ویندوز:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService
2. نبود فایلهایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
3. نبود ارتباطات FTP که در فرآیند احراز هویت، از نام کاربری solmondesigner استفاده شده باشد.
توصیههای امنیتی که برای پیشگیری ارائه شده نیز به شرح زیر است:
1. خودداری از باز کردن مستندات الحاق شده به ایمیلهای ناشناس و...
2. بهروز بودن نرمافزار ضدبدافزار نصب شده بر روی سیستم
3. فعال کردن ویژگی نمایش پسوند فایلها در ویندوز و احتیاط در اجرای فایلهای دارای پسوند
