Nemucod، بدافزاری از نوع دانلودکننده فایل (Downloader) است که عمدتاً توسط نویسندگان باجافزارهای Locky و Cerber مورد استفاده قرار میگیرد. نقش اصلی بدافزارهای دانلودکننده، برقراری ارتباط با سرور فرماندهی مهاجم، دریافت بدافزار و اجرای آن بر روی سیستم قربانی است.
اخیر تعداد قابل توجهی از هرزنامههای با پیوست بدافزار Nemucod به کاربران ایرانی ارسال شده است.
در این هرزنامهها معمولاً اینطور القاء میشود که پرداخت اخیر کاربر بهطور صحیح و کامل صورت نگرفته و برای مشاهده جزییات بیشتر باید فایل پیوست هرزنامه ارسال شود. برخی عناوین این هرزنامهها بهشرح زیر است:
- Important Information
- It Is Important
- Order #6218823
- Order #8665889
- Attention Required
- Payment confirmation 0835
- Delivery status
- Please Pay Attention
- Please note
- Invoice 4A38267740
- Invoice ED491068
- Invoice 64D69094
پیوست این هرزنامهها نیز یک فایل فشرده شده با پسوند ZIP است که برخی نمونه نامهای مشاهده شده توسط شرکت مهندسی شبکه گستر بهشرح زیر است:
- payment_[username].zip
- Invoice 7FF60884.zip
- document_[username].zip
- order_[username].zip
- receipt_[username].zip
- PaymentConfirmation0835.zip
- lastpayment_[username].zip
- tax_[username].zip
در برخی نمونهها، فایل فشرده شده پیوست هرزنامه حاوی یک فایل JavaScript است.
به منظور فرار از سد قابلیتهای رفتارشناسی ضدویروسها و بسترهای قرنطینه امن (Sandbox) و همچنین دشوار نمودن کار تحلیلگران بدافزار، کد JavaScript مبهمسازی (Obfuscation) شده است. (تصویر زیر)
همچنین در برخی نمونهها، فایل فشرده شده حاوی فایلی با پسوند WSF است.
WSF یا Windows Scripting File یک فایل متنی حاوی کدهای XML است. این نوع فایل با هر دو زبان اسکریپتنویسی JavaScript و VBScript سازگار است و برنامهنویس حتی میتواند از هر دوی این زبانها در یک فایل WSF استفاده کند.
در صورتی که ترفندهای مهندسی اجتماعی هرزنامه جواب دهد و کاربر فایل WSF/JS را اجرا کند، کد مخرب پس از برقراری ارتباط با سرور فرماندهی اقدام به دریافت باجافزار Locky و اجرای آن بر روی دستگاه قربانی میکند.
نمونههای بررسی شده این بدافزار توسط ضدویروسهای McAfee،وBitdefender و ESET با نامهای زیر شناسایی میشوند.
McAfee
– JS/Nemucod.jg
– JS/Nemucod.pj
Bitdefender
– Trojan.GenericKD.3741991
– Trojan.GenericKD.3741891
– JS:Trojan.JS.Agent.OMS
– Trojan.GenericKD.3760767
– JS:Trojan.JS.Downloader.HBU
ESET
– JS/TrojanDownloader.Nemucod.BOU
– JS/TrojanDownloader.Nemucod.BQM
– JS/TrojanDownloader.Nemucod.BPO
– JS/TrojanDownloader.Nemucod.BPV
– JS/TrojanDownloader.Agent.PGX
