ورود بدافزار Poshedo به کشور
ارسال شده: یکشنبه آپریل 17, 2016 11:10 pm
ورود بدافزار Poshedo به کشور
به گزارش شرکت شید افزار رایانه شید افزار *رایانه به نقل از برخی منابع داخلی، بدافزار جدید Poshedo بر روی برخی سیستم های داخل کشور مشاهده شده است.
http://sheedantivirus.ir/1395/01/26/%D9 ... %88%D8%B1/
Poshedo بدافزاری از نوع اسب تروا است که اقدام به دریافت و نصب برنامه های مخرب دیگر بر روی دستگاه قربانی می کند.
به گزارش شرکت شید افزار رایانه به نقل از شرکت ضدویروس Symantec، این بدافزار دستگاه های با یکی از سیستم های عامل زیر را هدف قرار می دهد:
Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008.
Windows 95, Windows 98, Windows Me, Windows XP, Windows Vista, Windows 7.
فایل اصلی Poshedo که یک میانبر دستکاری شده Windows است در قالب فایل RAR و از طریق هرزنامه ها (Spam) منتشر می شود. فایل های میانبر با نام های زیر گزارش شده است:
Full Order.lnk
Jan_2016_Order_Sheet.lnk
sample.lnk
COMMERCIALINVOICE.jpg.lnk
Order Specification.lnk
Refund.lnk
Scan_073.lnk
Contract.lnk
PO_Specification.lnk
Quotation.lnk
NewProductOrder.txt.lnk
TTcopy-copy.lnk
NewProductOrder.txt.lnk
Scan_020.lnk
liste confidentiel.lnk
Item_list_01.lnk
Order Specification.lnk
Order List.lnk
article_draft.docx.lnk
به محض اجرا شدن هر یک از این فایل ها، بدافزار با بهره گیری از پروسه PowerShell فایل مخربی را دریافت و آن را در مسیر زیر ذخیره می کند:
%AppData%\[THREAT FILE NAME].exe
در زمان بررسی این بدافزار، عملیات دریافت با برقراری ارتباط با یکی از دامنه های زیر صورت می گرفته است:
[[url]http://]directexe.com/Xmm/bb[/url].[REMOVED]
[[url]http://]sjc4911.com/.sql/mike[/url][REMOVED]
[[url]http://]directexe.com/Xmm/bb[/url].[REMOVED]
[[url]http://]aromkampanya.com/latin/wido[/url][REMOVED]
[[url]http://]directexe.com/2D2A/bg[/url].[REMOVED]
[[url]http://]secureemail.bz/ink[/url][REMOVED]
[[url]http://]sjc4911.com/.sql/stanr[/url][REMOVED]
[[url]http://]nevergreen.net/8[/url][REMOVED]
[[url]http://]zohaibnadeemgroup.com/pic/harris[/url][REMOVED]
[[url]http://]messystaging.com/.sql/mike[/url][REMOVED]
[[url]http://]aromkampanya.com/sumo[/url][REMOVED]
[[url]http://]tnservice.com.au/isp/ugogene[/url][REMOVED]
[[url]http://]www.algerie-focus.com//wp-content/uploads/2016/02/01[/url].[REMOVED]
[[url]http://]nevergreen.net/8[/url][REMOVED]
[[url]http://]directexe.com/2D2A/bg[/url].[REMOVED]
[[url]http://]nevergreen.net/6[/url][REMOVED]
[[url]http://]online-dropbox.com/online/[/url][REMOVED]
[[url]http://]droidgraphix.xyz/user02/iptoo[/url][REMOVED]
[[url]http://]www.amspeconline.com/123/etna[/url][REMOVED]
[[url]http://]jacoblennox.com/wp-includes/putt[/url][REMOVED]
[[url]http://]hecforex.info/wp-includes/upd[/url][REMOVED]
در ادامه فایل دریافت شده با استفاده از فرمان cmd.exe اجرا می شود.
استفاده از ضدویروس قدرتمند و به روز و بهره گیری از راهکارهای ضدهرزنامه در درگاه شبکه، در کنار آموزش کاربران در پرهیز از اجرا نمودن فایل های مشکوک می تواند احتمال آلودگی به این نوع بدافزارها را به حداقل برساند.
توضیح اینکه نمونه های گزارش شده از این بدافزار توسط ضدویروس McAfee با نام RDN/Generic Downloader.x کشف و شناسایی می شوند.
به گزارش شرکت شید افزار رایانه شید افزار *رایانه به نقل از برخی منابع داخلی، بدافزار جدید Poshedo بر روی برخی سیستم های داخل کشور مشاهده شده است.
http://sheedantivirus.ir/1395/01/26/%D9 ... %88%D8%B1/
Poshedo بدافزاری از نوع اسب تروا است که اقدام به دریافت و نصب برنامه های مخرب دیگر بر روی دستگاه قربانی می کند.
به گزارش شرکت شید افزار رایانه به نقل از شرکت ضدویروس Symantec، این بدافزار دستگاه های با یکی از سیستم های عامل زیر را هدف قرار می دهد:
Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008.
Windows 95, Windows 98, Windows Me, Windows XP, Windows Vista, Windows 7.
فایل اصلی Poshedo که یک میانبر دستکاری شده Windows است در قالب فایل RAR و از طریق هرزنامه ها (Spam) منتشر می شود. فایل های میانبر با نام های زیر گزارش شده است:
Full Order.lnk
Jan_2016_Order_Sheet.lnk
sample.lnk
COMMERCIALINVOICE.jpg.lnk
Order Specification.lnk
Refund.lnk
Scan_073.lnk
Contract.lnk
PO_Specification.lnk
Quotation.lnk
NewProductOrder.txt.lnk
TTcopy-copy.lnk
NewProductOrder.txt.lnk
Scan_020.lnk
liste confidentiel.lnk
Item_list_01.lnk
Order Specification.lnk
Order List.lnk
article_draft.docx.lnk
به محض اجرا شدن هر یک از این فایل ها، بدافزار با بهره گیری از پروسه PowerShell فایل مخربی را دریافت و آن را در مسیر زیر ذخیره می کند:
%AppData%\[THREAT FILE NAME].exe
در زمان بررسی این بدافزار، عملیات دریافت با برقراری ارتباط با یکی از دامنه های زیر صورت می گرفته است:
[[url]http://]directexe.com/Xmm/bb[/url].[REMOVED]
[[url]http://]sjc4911.com/.sql/mike[/url][REMOVED]
[[url]http://]directexe.com/Xmm/bb[/url].[REMOVED]
[[url]http://]aromkampanya.com/latin/wido[/url][REMOVED]
[[url]http://]directexe.com/2D2A/bg[/url].[REMOVED]
[[url]http://]secureemail.bz/ink[/url][REMOVED]
[[url]http://]sjc4911.com/.sql/stanr[/url][REMOVED]
[[url]http://]nevergreen.net/8[/url][REMOVED]
[[url]http://]zohaibnadeemgroup.com/pic/harris[/url][REMOVED]
[[url]http://]messystaging.com/.sql/mike[/url][REMOVED]
[[url]http://]aromkampanya.com/sumo[/url][REMOVED]
[[url]http://]tnservice.com.au/isp/ugogene[/url][REMOVED]
[[url]http://]www.algerie-focus.com//wp-content/uploads/2016/02/01[/url].[REMOVED]
[[url]http://]nevergreen.net/8[/url][REMOVED]
[[url]http://]directexe.com/2D2A/bg[/url].[REMOVED]
[[url]http://]nevergreen.net/6[/url][REMOVED]
[[url]http://]online-dropbox.com/online/[/url][REMOVED]
[[url]http://]droidgraphix.xyz/user02/iptoo[/url][REMOVED]
[[url]http://]www.amspeconline.com/123/etna[/url][REMOVED]
[[url]http://]jacoblennox.com/wp-includes/putt[/url][REMOVED]
[[url]http://]hecforex.info/wp-includes/upd[/url][REMOVED]
در ادامه فایل دریافت شده با استفاده از فرمان cmd.exe اجرا می شود.
استفاده از ضدویروس قدرتمند و به روز و بهره گیری از راهکارهای ضدهرزنامه در درگاه شبکه، در کنار آموزش کاربران در پرهیز از اجرا نمودن فایل های مشکوک می تواند احتمال آلودگی به این نوع بدافزارها را به حداقل برساند.
توضیح اینکه نمونه های گزارش شده از این بدافزار توسط ضدویروس McAfee با نام RDN/Generic Downloader.x کشف و شناسایی می شوند.