بدافزار ایرانی مارمولك
ارسال شده: یکشنبه می 25, 2014 1:55 pm
حملات هدفمند از چندین مرحله تشكیل میشوند كه به زنجیره قتل APT شناخته میشوند. مهاجمان به عنوان بخشی از فاز مسلح كردن خود، اغلب Payloadی را در یك فایل قرار میدهند كه زمانی كه نصب میگردد، در فاز دستور و كنترل (C۲) به مهاجم متصل میشود.
به گزارش ایتنا از مرکز ماهر، یك payload بسیار معمول مورد استفاده بسیاری از بدافزارهای سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كلید (keylogger) است. هدف از ثبت ضربات صفحه كلید این است كه ضربات صفحه كلید كاربر ضبط شود و اطلاعات اعتباری وی و لینكها به منابع داخلی و خارجی جمعآوری گردد.
اخیراً بدافزار مارمولك كه یك نرم افزار ایرانی ثبت ضربات صفحه كلید است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D97 شناسایی شده است.
نخستین ظهور این keylogger به یك فروم در خاورمیانه باز میگردد. اگرچه ممكن است برخی keylogger ها ضربات صفحه كلید را برای مقاصد قانونی ثبت نمایند، اما این نرمافزار قربانیان خود را با یك payload پنهان گمراه میسازد.
به نظر میرسد كه تولید كننده این بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به سایر اعضای این فروم را داشته است كه این كار تكنیكی مرسوم است.
نویسندگان بدافزارها اغلب برای جلوگیری از شناسایی شدن، از ابزارهای ارزان و سادهای استفاده میكنند كه بدافزار را با یك برنامه runtime فشرده سازی یا رمزگذاری، تغییر میدهد. البته در این مورد خاص، فایلهای مرتبط توسط یك نسخه تغییر یافته از ابزار مشهور UPX پنهان شدهاند.
این فایل در هنگام اجرا یك كپی از خود با نام Mcsng.sys در فولدر Sysytem32 ایجاد میكند. این بدافزار همچنین پروسهای را اجرا میكند كه فایل ۱stmp.sys را در فولدر system32\config جایگذاری كرده و مینویسد.
اگرچه پسوند این فایل .sys (فایل سیستمی) است، اما در حقیقت این فایل سیستمی نیست. هدف این فایل این است كه به عنوان یك فایل لاگ عمل كند كه محتوی ضربات صفحه كلید كاربر است كه به صورت رمز شده ذخیره شدهاند.
هربار كه یك كلید فشرده میشود، این پروسه ضربات صفحه كلید را ثبت میكند، آن را رمز كرده و به 1stmp.sys اضافه میكند.
اگرچه الگوریتم رمزگذاری مورد استفاده برای این كار ساده است، ولی از رمزگذاری انتخابی با دو تكنیك استفاده میكند: هر بایت درصورتیكه فرد باشد با استفاده از تكنیك ۱ رمز میشود و درصورتیكه زوج باشد، با استفاده از تكنیك ۲ رمزگذاری میگردد.
پس از رمزگشایی نه تنها ضربات صفحه كلید قابل مشاهده هستند، بلكه اطلاعات زمانی ثبت این اطلاعات نیز قابل مشاهده است. پس از ثبت و رمز گذاری ضربات صفحه كلید، این بدافزار این اطلاعات را برای نویسنده خود ایمیل میكند.
این بدافزار همچنین نام كامپیوتر و نام كاربر را نیز برای سازنده خود میفرستد. لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال میگردد كه بر روی دامنهای میزبانی میشود كه به میزبانی بدافزارها مشهور است.
مكآفی این تروجان keylogger و نسخههای مختلف آن را با عنوان Keylog-FAG میشناسد. برای جلوگیری از آلوده شدن توسط انواع keylogger ها، باید آنتیویروس خود را بهروز نگه دارید و از منابع نامطمئن دانلود نكنید.
http://www.itna.ir/vdchz-nx.23nv6dftt2.html
به گزارش ایتنا از مرکز ماهر، یك payload بسیار معمول مورد استفاده بسیاری از بدافزارهای سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كلید (keylogger) است. هدف از ثبت ضربات صفحه كلید این است كه ضربات صفحه كلید كاربر ضبط شود و اطلاعات اعتباری وی و لینكها به منابع داخلی و خارجی جمعآوری گردد.
اخیراً بدافزار مارمولك كه یك نرم افزار ایرانی ثبت ضربات صفحه كلید است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D97 شناسایی شده است.
نخستین ظهور این keylogger به یك فروم در خاورمیانه باز میگردد. اگرچه ممكن است برخی keylogger ها ضربات صفحه كلید را برای مقاصد قانونی ثبت نمایند، اما این نرمافزار قربانیان خود را با یك payload پنهان گمراه میسازد.
به نظر میرسد كه تولید كننده این بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به سایر اعضای این فروم را داشته است كه این كار تكنیكی مرسوم است.
نویسندگان بدافزارها اغلب برای جلوگیری از شناسایی شدن، از ابزارهای ارزان و سادهای استفاده میكنند كه بدافزار را با یك برنامه runtime فشرده سازی یا رمزگذاری، تغییر میدهد. البته در این مورد خاص، فایلهای مرتبط توسط یك نسخه تغییر یافته از ابزار مشهور UPX پنهان شدهاند.
این فایل در هنگام اجرا یك كپی از خود با نام Mcsng.sys در فولدر Sysytem32 ایجاد میكند. این بدافزار همچنین پروسهای را اجرا میكند كه فایل ۱stmp.sys را در فولدر system32\config جایگذاری كرده و مینویسد.
اگرچه پسوند این فایل .sys (فایل سیستمی) است، اما در حقیقت این فایل سیستمی نیست. هدف این فایل این است كه به عنوان یك فایل لاگ عمل كند كه محتوی ضربات صفحه كلید كاربر است كه به صورت رمز شده ذخیره شدهاند.
هربار كه یك كلید فشرده میشود، این پروسه ضربات صفحه كلید را ثبت میكند، آن را رمز كرده و به 1stmp.sys اضافه میكند.
اگرچه الگوریتم رمزگذاری مورد استفاده برای این كار ساده است، ولی از رمزگذاری انتخابی با دو تكنیك استفاده میكند: هر بایت درصورتیكه فرد باشد با استفاده از تكنیك ۱ رمز میشود و درصورتیكه زوج باشد، با استفاده از تكنیك ۲ رمزگذاری میگردد.
پس از رمزگشایی نه تنها ضربات صفحه كلید قابل مشاهده هستند، بلكه اطلاعات زمانی ثبت این اطلاعات نیز قابل مشاهده است. پس از ثبت و رمز گذاری ضربات صفحه كلید، این بدافزار این اطلاعات را برای نویسنده خود ایمیل میكند.
این بدافزار همچنین نام كامپیوتر و نام كاربر را نیز برای سازنده خود میفرستد. لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال میگردد كه بر روی دامنهای میزبانی میشود كه به میزبانی بدافزارها مشهور است.
مكآفی این تروجان keylogger و نسخههای مختلف آن را با عنوان Keylog-FAG میشناسد. برای جلوگیری از آلوده شدن توسط انواع keylogger ها، باید آنتیویروس خود را بهروز نگه دارید و از منابع نامطمئن دانلود نكنید.
http://www.itna.ir/vdchz-nx.23nv6dftt2.html