هشدار مرکز ماهر درباره جاسوسافزاری به نام دادسرای الکترونیکی
این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به بازکردن پوشهای حاوی اطلاعات الکترونیکی دادسرا میکند. این درحالی است که جاسوسافزار مخفی شده در شکل پوشه است. هدف اصلی این جاسوسافزار، سرقت اطلاعات قربانی بهخصوص اطلاعات حسابهای بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپبورد و برنامههای اجرا شده توسط کاربر است.
نحوه شناسایی سیستم آلوده از طریق لاگهای شبکه
مرکز ماهر اعلام کرد: تمامی سیستمهایی از شبکه که با آدرس ftp:/ / files.۰۰۰webhost.com/ public_html/ Kl۳۶z۰fHjrKlemente۶۰۲KA۱/ در ارتباط باشند، تحت آلودگی این جاسوسافزار قرار دارند. با توجه به اینکه ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستمهای میزبان نیز درنظر گرفته شود.
بررسی وجود آلودگی
۱- وجود پوشهای در مسیر زیر%AppData%Roaming\Adobe\Flash player\AFCache که در آن فایلی با نام syslog<date>.dat و پوشهای دیگر با نام err در سیستم قرار گرفتهاند.
۲- وجود فایلی با مشخصات: %AppData%Roaming\Adobe\HostService.exe در سیستم.
۳- وجود زیرکلیدی با نام HostService (که مقدار آن مشخصات فایل معرفیشده در قسمت ۲ است) در مسیر رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run
۴- وجود کلید رجیستری در مسیرهای زیر: HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe، HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe و HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe
نحوه پاکسازی سیستم
۱- پایان دادن به پردازه HostService.exe در صورتی که در حال اجرا در سیستم است.
۲- حذف فایلها و کلید رجیستری ایجاد شده (در صورت وجود) که در قسمت قبلی به آن اشاره شده است.
بررسی پاک بودن سیستم
۱- نبود مقدار HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService در کلید رجیستری ویندوز.
۲- نبود فایلهایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
۳- نبود ارتباطات FTP که در فرآیند احراز هویت، از نام کاربری solmondesigner استفاده شده باشد.
توصیههای امنیتی برای پیشگیری
۱- خودداری از بازکردن مستندات الحاق شده به ایمیلهای ناشناس و...
۲- بهروز بودن نرمافزار ضدبدافزار نصب شده روی سیستم
۳- فعال کردن ویژگی نمایش پسوند فایلها در ویندوز و احتیاط در اجرای فایلهای دارای پسوند exe
ارسال نظر