چطور با ویروس ایرانی "مارمولک" مقابله کنیم؟
شنبه 10 خرداد 1393 3:43 PM
بایت؛ بسياري از بدافزارهاي سارق اطلاعاتي که ما در کشورمان با آنها برخورد ميکنيم، بدافزارهاي خارجي هستند.
اگر حساب کاربري گوگل يا يکي از شبکههاي اجتماعي يک کاربر به دست سارقان اطلاعاتي بيفتد، به احتمال زياد، منافعي از اين اطلاعات براي سارقان حاصل ميشود ولي حسابهاي بانکي ريالي به خصوص در شرايط اخير، منافع زيادي براي يک سارق اطلاعاتي خارجي نخواهد داشت.
اين جاست که بايد در مقابل سارقان اطلاعاتي ايراني نگراني بيشتري داشت، چرا که اين نوع سارقها بيشترين سود را از سرقت اطلاعات يک کاربر ايراني ميبرند. اگر چه اين نوع بدافزارها زياد نيستند اما وجود دارند.
به تازگي مرکز ماهر از انتشار يک بدافزار ايراني، موسوم به مارمولک خبر داده است؛ بدافزاري که يک Keylogger محسوب ميشود و عبارات تايپ شده به وسيله صفحهکليد را از سيستمهايعامل ويندوز سرقت کرده و براي سارق ارسال مينمايد.
به نقل از ماهر، حملات هدفمند از چندين مرحله تشکيل ميشوند که به زنجيره قتل APT شناخته ميشوند. مهاجمان به عنوان بخشي از فاز مسلح کردن خود، اغلب يک Payload را در يک فايل قرار ميدهند.
اين فايل پس از نصب، در فاز دستور و کنترل (C2) به مهاجم متصل ميشود.
يک Payload بسيار معمول مورد استفاده بسياري از بدافزارهاي سرقت کلمه عبور، نرمافزار ثبت ضربات صفحه کليد (Keylogger) است.
هدف از ثبت ضربات صفحهکليد اين است که ضربات صفحهکليد کاربر ضبط شده و اطلاعات اعتباري و لينکهاي مورد استفاده او به منابع داخلي و خارجي جمعآوري گردد.
به تازگي يک بدافزار ايراني ثبت ضربات صفحهکليد شناسايي شده است که بر اساس همين روش، به سرقت اطلاعات کاربران ايراني و منطقه مشغول شده است.
نخستين ظهور اين Keylogger به يک فروم در خاورميانه باز ميگردد.
اگر چه ممکن است برخي Keyloggerها، ضربات صفحهکليد را براي مقاصد قانوني ثبت نمايند اما اين بدافزار قربانيان خود را با يک Payload پنهان گمراه ميسازد.
به نظر ميرسد که توليدکننده اين بدافزار، با قرار دادن آن در فروم مذکور، قصد حمله به ساير اعضا را داشته است.
اين کار، يک روش کاملا مرسوم است که بسياري از بدافزارنويسان در جهان براي منتشر کردن بدافزار خود، از آن بهره ميبرند.
نويسندگان بدافزار معمولا براي جلوگيري از شناسايي شدن بدافزار خود، از ابزارهاي ارزان و سادهاي استفاده ميکنند که بدافزار را با يک برنامه Runtime فشردهسازي يا رمزگذاري، تغيير ميدهد. در اين مورد خاص، فايلهاي مرتبط توسط يک نسخه تغيير يافته از ابزار مشهور UPX پنهان شدهاند.
اين فايل در هنگـام اجرا، يک کپي از خود را با نام Mcsng.sys در پوشه Sysytem32 ايجاد ميکند. اين بـدافزار همچنين پردازشي را اجرا ميکند که فايل 1stmp.sys را در پوشه system32\config جايگذاري کـرده و اطلاعـات سرقت شـده را در آن مينـويسد.
اگر چه پسوند اين فايل .sys (پسوند فايلهاي سيستمي) است اما در حقيقت اين فايل يک فايل سيستمي نيست.
هدف اين فايل اين است که به عنوان يک فايل لاگ عمل کند. اطلاعات ذخيره شده در اين فايل، محتوي ضربات صفحه کليد کاربر است که به صورت رمز شده ذخيره شدهاند. هر بار که يک کليد فشرده ميشود، اين پردازش، ضربات صفحهکليد را ثبت کرده، آن را رمز و به محتويات فايل 1stmp.sys اضافه ميکند.
نويسنده اين بـدافزار، از يـک الگوريتم رمزگذاري ساده بـراي رمز کردن اطلاعات سرقت شده استفاده کرده است. ايـن بـدافزار از رمزگذاري انتخابي با دو تکنيک استفاده ميکنـد. هر بايت درصورتي که فرد باشد با استفاده از تکنيـک 1 رمز ميشود و در صورتي که زوج باشد، با استفاده از تکنيک 2 رمزگذاري ميگردد.
اين بـدافزار در نـوع خـود، بدافـزار پيشرفتهاي محسوب ميشود و در کنار اطلاعـات تايـپ شده به وسيله صفحه کليـد، اطـلاعـاتي از جملـه محل تايپ شدن حروف، آدرس سايتـي که کاربـر در همان لحظه در آن قرار دارد و زمان تايپ حروف را نيز ذخيره ميکند.
پـس از ثبت و رمز گذاري ضربات صفحه کليد قرباني، اين بدافزار اين اطلاعات را براي نويسنده خود ايميل ميکند.
اين بدافزار همچنين نام رايانه و نام کاربر را نيز براي سازنده خود ميفرستد.
آنتيويـروس مـکآفي اين تـروجان keylogger و نسخههاي مختلـف آن را بـا عنوان Keylog-FAG شناسايي ميکند.