Ursnif : تروجانی پیچیده و چند وجهی

[saman]

غول امنیتی ترندمیکرو ( عرضه کننده ژاپنی سرویسها و نرم افزارهای امنیتی و آنتی ویروس ) در وبلاگ خود توضیحاتی درباره تروجان جدید و پیچیده ای با نام URSNIF منتشر نموده است .


ویروس چند وجهی و پیچیده URSNIF شامل بخشهای زیر است :

- بکدور BKDR_URSNIF.SM
- جاسوس افزار TSPY_URSNIF.YNJ
و آلوده کننده فایلی که با نام PE_URSNIF.A-O شناسایی می شود .

اولین نمونه های آلودگی به ویروس URSNIF در دسامبر 2014 در آمریکای شمالی مشاهده شد .

ویروس URSNIF در ابتدا به طور معمول فایلها را آلوده می کند و به فایلهای قربانی می چسبد .

فایلهای PDf , MSI و exe از جمله فایلهایی است که مورد حمله این ویروس قرار میگیرند و به ترتیب با عناوین زیر شناسایی می شوند:

*.PDF (detected as PE_URSNIF.A-O)
*.MSI (detected as PE_URSNIF.A1)
*setup*.exe (detected as PE_URSNIF.A2)


ولی در فبریه 2015 نمونه های جدیدتری از ویروس URSNIF نیز مشاهده شد که میتوان به PE_URSNIF.B و PE_URSNIF.BO اشاره نمود .

این ویروس سپس به صورت پنهان فایلهایی را بر روی سیستم و بخشهایی از رجیستری کپی میکند که میتوان به cmdlnsta.exe و cmdl32.exe و
rwinsta.exe اشاره نمود که همانطور که میبینید برخی نامها در ظاهر با مشخصات فایلهای قانونی و مشروع یکی است .

همچنین ویروس URSNIF رشته ای را در پروسس ها نزریق میکند و خود رابه حافظه منتقل میکند تا اسکنرهای حافظه قادر به شناسایی آن نباشند .

ولی پیشرفت ویروس URSNIF به همینجا ختم نشد و در مارس 2015 دوباره نمونه های جدیدتری از این ویروس شناسایی شد که هم اکنون با نامهای PE_URSNIF.EO و PE_URSNIF.E شناسایی و نامگذاری شده اند .

این ویروسها نیز عمدتآ اسناد و فایلهای شرکت میکروسافت را هدف قرار داده و آلوده میکنند .

URSNIF: The Multifaceted Malware

کاربرانی که به هر دلیل با مشکلات آلودگی به ویروسها و بدافزارهای مختلف کامپیوتری و موبایل دست به گریبانگیرند ، کافیست با شرکت دورانتاش به نشانی www.Durantash.com و یا www.ddn.ir در ارتباط باشند .

منبع:

http://disna.ir/post/5137