راه ترقی

آخرين مطالب

انتشار نسخه جدید تروجان Adwind و دور زدن نرم‌افزارهای ضدویروس مقالات

انتشار نسخه جدید تروجان Adwind و دور زدن نرم‌افزارهای ضدویروس

  بزرگنمايي:

راه ترقی- این RAT که با نام Adwind شناخته می‌شود، پیش‌تر صنایع مختلفی را در جهان مورد هدف قرار داده است. این تروجان اکنون مجهز به toolkit جدیدی است تا بتواند از سیستم‌ها سوءاستفاده کند.

تروجان توسط Cisco Talos و ReversingLabs مورد بررسی قرار گرفته است. این تروجان هم‌چنین با نام‌های AlienSpy، JSocket و jRat نیز شناخته می‌شود و دارای قابلیت‌های زیادی است. تروجان قادر به جمع‌آوری اطلاعات رایانه و کلیدهای فشرده شده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرم‌های وب را نیز به سرقت می‌برد.

بدافزار قادر به ضبط ویدئو، صدا و گرفتن تصاویر اسکرین‌شات نیز است. علاوه بر این، تروجان می‌تواند فایل‌های سیستم را بدون اطلاع کاربر منتقل کند. در نسخه‌های جدیدتر این تروجان، تلاش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستم‌های آلوده نیز انجام می‌شود.
تروجان ابتدا از طریق عملیات فیشینگ منتقل می‌شود و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری می‌کند و پس از اجرا به سرور کنترل و فرمان (C&C) متصل می‌شود و بدنه‌های بیش‌تر را بارگیری می‌کند تا داده‌های سیستم آلوده را به سرقت ببرد.

این بدافزار در گذشته با حداقل 400 هزار حمله علیه کسب‌وکارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده شده است، از Adwind 3,0 که آخرین نسخه آن است استفاده شد. در این حملات سیستم‌های ویندوز، لینوکس و مک مورد هدف قرار گرفتند.

هم‌چنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامه‌های ضد ویروس مبتنی بر امضا بهره‌برداری شده است. در عملیات فیشینگ پیام‌های مخرب حاوی فایل‌های CSV و XLT (هر دو به صورت پیش‌فرض با نرم‌افزار اکسل باز می‌شوند) ارسال می‌شوند. فایل‌های مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره می‌برند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده می‌کند.
پژوهشگران Cisco Talos می‌گویند که تکنیک جدیدی برای مبهم‌سازی در حملات استفاده شده است که از طریق آن بخش اول فایل بدون سرایند است و برنامه‌های ضدویروس را به اشتباه می‌اندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن‌ را به عنوان یک فایل خراب تشخیص می‌دهد.

کد مخرب یک اسکریپت Visual Basic را ایجاد می‌کند که از bitasdmin بهره می‌برد. ابزار bitasdmin نرم‌افزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیت‌ها و نظارت بر فرایند پردازشی آن‌هاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده شده است. این بسته در ادامه از حالت فشرده خارج می‌شود و تروجان Adwind را پیاده‌سازی می‌کند.




نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

تردد نابینایان در خیابان ها ایمن نیست

سنگینی بار خشونت اقتصادی بر دوش زنان

سبقت از راست تاکسی های اینترنتی از حمل و نقل عمومی

غذاهای تراریخته بخوریم یا نخوریم؟

گرانی مسکن خط فقر در شهرهای بزرگ را بیشتر کرد

قانون روی قانون پیام‌رسان‌ها!؟

تاثیر قهوه در درمان پارکینسون

تشکیل جبهه مشترک کشورهای منطقه ضروری است

دولت و آنچه منتقدان نمی گویند

وقتی زیبایی به گوش‌های الاغی ختم می‌شود!

باران، تب بیمار ارومیه را تسکین داد

سرگردانی ناشنوایان در نبود مترجم

دلایل احتمالی ورم انگشتان دست

جمع‌آوری مخازن زباله پایتخت

3سال تا پایان نقطه تنش آبی در ایران

از جیب هر ایرانی چقدر بابت موسسات اعتباری رفت؟

نشست شورای امنیت درخصوص آزمایش موشکی ایران

زنگ خطر جهانی درباره "الکل"

خصوصی‌سازی‌ها به اهلش سپرده نشد

حسرت یک دل سیر زندگی، آرزوی خاک خورده معلولان

مشکلات داخلی بیش از تحریم ها به صنعت پوشاک ضربه زده است

جایگزینی داروی ضد سالک ایرانی به جای داروهای خارجی

خال و خطوط مشکی ناخن نشانه چیست؟

روایت‌های پیاده‌روی اربعین

5 دلیل احتمالی قرمزی چشم‌ها

افراد موفق، همیشه باهوش نیستند

چای ترش، درمان اختلالات کبدی

عوارض کمبود ویتامین B12

مرگ تلویزیون در راه است؟

بارندگی بالاتر از حد انتظار در مهر و آبان

چرا ایرانیان از این غذای ایرانی سهمی ندارند؟

پایان تلخ زندگی فست فودی

‌زندگی کودکانه زیر سقف‌های اجباری!

ثبت رکورد گرمای هوا در چهار سال گذشته

بازیافت هر تن کاغذ از مصرف 27متر مکعب آب جلوگیری می‌کند

انتشار گازهای گلخانه ای پس از وقفه 3 ساله افزایش یافته است

جشنواره فرهنگ اقوام؛ فصلی برای نشاط اجتماعی

تولید آب آشامیدنی از هوا

ناکامی تحریم‌های آمریکا برای کم کردن پروازهای بین‌المللی ایران

دود کردن کودکی پشت چراغ قرمز

ورود سهام شرکت های بورسی به محدوده جذاب قیمتی

3 دلیل برای مهم بودن «بازی» در سنین کودکی

نوسانات فشارخون ریسک ابتلا به آلزایمر را افزایش می دهد

زبان بی صدا، ناشنوایان در بن بست

اگر از زلزله می‌ترسید، بخوانید

چرا دولت‌ها به سیاست‌های کوپنی رو می‌آورند؟

راه چاره گوگل برای پدر و مادرها برای کنترل فرزندان

چگونه فایل‌های سنگین را با جی‌میل ارسال کنیم؟

ولادت حضرت محمد(ص)؛ طلیعه رحمت الهی

چه مردان و زنانی، فرزندان بیشتری دارند؟