0
عضویت / ورود
شنبه، 6 بهمن 1403 ( جهش تولید با مشارکت مردم )

بدافزار جدید Poshedo بر روی برخی سیستم های داخلی کشور ایران

 
mosadegh
mosadegh
کاربر طلایی3
تاریخ عضویت : بهمن 1388 
تعداد پست ها : 1778
محل سکونت : ایران

بدافزار جدید Poshedo بر روی برخی سیستم های داخلی کشور ایران

Poshedo بدافزاری از نوع اسب تروا است که اقدام به دریافت و نصب برنامه های مخرب دیگر بر روی دستگاه قربانی می کند.

به گزارش شرکت ضدویروس Symantec، این بدافزار دستگاه های با یکی از سیستم های عامل زیر را هدف قرار می دهد:

  • Windows NT, Windows 2000,  Windows Server 2003, Windows Server 2008.
  • Windows 95, Windows 98, Windows Me, Windows XP, Windows Vista, Windows 7.

فایل اصلی Poshedo که یک میانبر دستکاری شده Windows است در قالب فایل RAR و از طریق هرزنامه ها (Spam) منتشر می شود.

فایل های میانبر با نام های زیر گزارش شده است:

  • Full Order.lnk
  • Jan_2016_Order_Sheet.lnk
  • sample.lnk
  • COMMERCIALINVOICE.jpg.lnk
  • Order Specification.lnk
  • Refund.lnk
  • Scan_073.lnk
  • Contract.lnk
  • PO_Specification.lnk
  • Quotation.lnk
  • NewProductOrder.txt.lnk
  • TTcopy-copy.lnk
  • NewProductOrder.txt.lnk
  • Scan_020.lnk
  • liste confidentiel.lnk
  • Item_list_01.lnk
  • Order Specification.lnk
  • Order List.lnk
  • article_draft.docx.lnk

به محض اجرا شدن هر یک از این فایل ها، بدافزار با بهره گیری از پروسه PowerShell فایل مخربی را دریافت و آن را در مسیر زیر ذخیره می کند:

%AppData%\[THREAT FILE NAME].exe

در زمان بررسی این بدافزار، عملیات دریافت با برقراری ارتباط با یکی از دامنه های زیر صورت می گرفته است:

  • [http://]directexe.com/Xmm/bb.[REMOVED]
  • [http://]sjc4911.com/.sql/mike[REMOVED]
  • [http://]directexe.com/Xmm/bb.[REMOVED]
  • [http://]aromkampanya.com/latin/wido[REMOVED]
  • [http://]directexe.com/2D2A/bg.[REMOVED]
  • [http://]secureemail.bz/ink[REMOVED]
  • [http://]sjc4911.com/.sql/stanr[REMOVED]
  • [http://]nevergreen.net/8[REMOVED]
  • [http://]zohaibnadeemgroup.com/pic/harris[REMOVED]
  • [http://]messystaging.com/.sql/mike[REMOVED]
  • [http://]aromkampanya.com/sumo[REMOVED]
  • [http://]tnservice.com.au/isp/ugogene[REMOVED]
  • [http://]www.algerie-focus.com//wp-content/uploads/2016/02/01.[REMOVED]
  • [http://]nevergreen.net/8[REMOVED]
  • [http://]directexe.com/2D2A/bg.[REMOVED]
  • [http://]nevergreen.net/6[REMOVED]
  • [http://]online-dropbox.com/online/[REMOVED]
  • [http://]droidgraphix.xyz/user02/iptoo[REMOVED]
  • [http://]www.amspeconline.com/123/etna[REMOVED]
  • [http://]jacoblennox.com/wp-includes/putt[REMOVED]
  • [http://]hecforex.info/wp-includes/upd[REMOVED]

در ادامه فایل دریافت شده با استفاده از فرمان cmd.exe اجرا می شود.

استفاده از ضدویروس قدرتمند و به روز و بهره گیری از راهکارهای ضدهرزنامه در درگاه شبکه، در کنار آموزش کاربران در پرهیز از اجرا نمودن فایل های مشکوک می تواند احتمال آلودگی به این نوع بدافزارها را به حداقل برساند.

توضیح اینکه نمونه های گزارش شده از این بدافزار توسط ضدویروس McAfee با نام RDN/Generic Downloader.x کشف و شناسایی می شوند.

فسا-پسا

.تفکر از تخصص مهمتر است📌

یک شنبه 19 اردیبهشت 1395  1:51 PM
تشکرات از این پست
siryahya
دسترسی سریع به انجمن ها