تبلیغات
دنیـــــای مجـــــازی - بدافزار Xpiro، بدافزاری مستقل از معماری خاص
تاریخ : یکشنبه 13 مرداد 1392 | 12:21 ب.ظ | نویسنده : دنیای مجازی
پس از اینکه خانواده‌‌ی بدافزار‌های Xpiro مدتی را در خاموشی سپری کرده‌اند، این بدافزار‌ها این بار با سر و صدای زیاد و البته قابلیت‌های بی‌شک خطرناکی بازگشته‌اند.

پایگاه اطلاع‌رسانی پلیس فتا: در نمونه‌های قدیمی از این بدافزار، فقط پرونده‌های ۳۲ بیتی آلوده می‌شدند، اما این‌بار دامنه‌ی فعالیت‌های این نمونه از بدافزار گسترش پیدا کرده و پرونده‌های ۶۴ بیتی را نیز آلوده می‌کند. 

گستره‌ی این آلودگی مبتنی بر معماری خاصی نیست، یعنی یک نمونه‌ی ۳۲ بیتی از بدافزار  Xpiro می‌تواند یک پرونده‌ی اجرایی ۶۴ بیتی را آلوده کند و برعکس. البته این بدافزار قابلیت‌های سرقت داده‌ها از رایانه‌های قربانی را نیز بهبود بخشید است و با اضافه کردن افزونه‌های مرورگرهای فایرفاکس و کروم می‌تواند بر نشست‌های این مرورگرها نظارت داشته باشد.

آلودگی مستقل از معماری و ماندگاری بدافزار

اگرچه قبلاً نیز بدافزارهایی مشاهده شده‌اند که قابلیت آلوده‌سازی چندین نوع معماری را داشته‌اند، اما هیچ‌یک مانند بدافزار Xpiro به صورت گسترده منتشر نشده‌اند. نمونه‌ی جدید این بدافزار قابلیت آلوده‌سازی معماری‌های زیر را دارد:

  • Intel 386 (32-bit)
  • Intel 64 (64-bit)
  • AMD64 (64-bit)

البته لازم به ذکر است که پرونده‌های Intel64 آلوده می‌شوند، اما به دلیل خطایی که در کد بدافزار وجود دارد این آلودگی کامل نیست و پرونده‌ها فقط دچار تغییر می‌شوند و به گزارش سیمنتک این پرونده‌ها را می‌توان به حالت اولیه و وضعیت بدون آلودگی تبدیل کرد. 

در نمونه‌های قدیمی‌تر، معمولاً پرونده‌های آلوده‌ساز توانایی داشتند که سایر پرونده‌های اجرایی را آلوده سازند و اهمیتی به تداوم گسترش آلوده‌سازی داده نمی‌شد. اما این نمونه بدافزار از یک روش دقیق برای رسیدن به تداوم آلوده‌سازی و عمل آلوده‌سازی به طور همزمان استفاده می‌کند. در ابتدا این بدافزار سعی می‌کند، تمامی پرونده‌های خدمات Win32 را بشمارد و تلاش کنند تمامی این پرونده‌ها را آلوده سازد. سپس تمامی‌ پرونده‌های پیوند (lnk) در میز کار کاربر و همچنین پوشه‌‌های منوی شروع (Start Menu)  هدف آلوده‌سازی این بدافزار قرار می‌گیرند. 

اما چرا این پرونده‌ها انتخاب می‌شوند؟ چرا که این پرونده‌ها بیش‌ترین شانس را دارند که توسط کاربر و یا خود سامانه اجرا شوند و در نتیجه با هر بار راه‌اندازی سامانه احتمال اجرای بدافزار و درنتیجه ماندگاری آن وجود دارد. 

در نهایت، تمامی‌ پرونده‌های اجرایی از درایو C تا درایو Z چه به صورت درایو ثابت و چه به صورت جابه‌جاپذیر آلوده خواهند شد. 

پیش‌رفته‌تر شدن قابلیت سرقت اطلاعات

هدف نهایی این خانواده از بدافزارها از ابتدا سرقت اطلاعات از میزبان آلوده بوده است. این هدف همچنان در نسخه‌ی جدید پابرجاست و البته برای دست‌یابی به آن ابزارهایی به بدافزار اضافه شده است. 

هنگامی که این بدافزار در رایانه‌ی قربانی اجرا می‌شود، افزونه‌ای به مرروگرهای کروم و فایرفاکس اضافه می‌کند که در مرورگر فایرفاکس به صورت مخفی و در مرورگر کروم به نام «Google Chrome 1.0» می‌باشد. 

به طور مثال افزونه‌ی فایرفاکس می‌تواند فعالیت‌های زیر را انجام دهد: 

  • پنهان‌سازی حضور افزونه
  • کاهش امنیت مرورگر
  • جاسوسی فعالیت‌های اینترنتی کاربر
  • سرقت رویدادهای ثبت‌شده
  • تغییر مسیر آدرس درخواستی توسط کاربر به یک آدرس از پیش تعریف شده.

پس از نصب افزونه توسط بدافزار، و با راه‌اندازی مجدد  مرورگر فایرفاکس به کاربر اطلاع داده می‌شود که یک افزونه‌ی جدید نصب شده است، اما این افزونه در فهرست افزونه‌های نصب‌شده پیدا نخواهد شد. 

 

 

تصویر۱- فهرست افزونه‌ها قبل از اجرای بدافزار

 

 

 

تصویر۲- فهرست افزونه‌ها پس از اجرای بدافزار و هشدار نصب افزونه‌ی جدید

 

 

 

همان‌طور که گفته شد، این بدافزار می‌تواند امنیت مرورگر را نیز تغییر دهد، در تصاویر زیر مشاهده می‌شود که بدافزار  هشدارهای مرورگر را غیرفعال کرده است و همچنین قابلیت اعلام به روز رسانی‌های موجود برای مرورگر نیز غیرفعال شده است. 

 

تصویر۳- غیرفعال کردن هشدارهای امنیتی مرورگر

 

 

در صورتی که کاربر به صورت دستی نیز تلاش کند که به روز رسانی‌های موجود را اعمال کند، این اتفاق عملی نمی‌شود، چراکه بدافزار Xpiro، آدرس دریافت به روز رسانی‌های مرورگر را به ۱۲۷٬۰٬۰٬۱ که یک آدرس محلی است،‌ تغییر می‌دهد.  

 

 تصویر۴- تغییر آدرس دریافت به روز رسانی‌های مرورگر

 

 

با از کار افتادن بسیاری از قابلیت‌های هشدار مرورگر توسط این افزونه، کاربر به صورت طبیعی با مشکلات متعددی مواجه خواهد شد. همچنین برخی از ویژگی‌های مرور وب ایمن، که از کاربر در مقابل حملات فیشینگ محافظت می‌کند نیز از کار خواهد افتاد. 

Xpiro تمامی فعالیت‌های HTTP کاربر در مرورگر را پایش می‌کند و گزارش همه‌ی این فعالیت‌ها را به یک کارگزار   ارسال می‌کند و سپس اقدام به بارگیری دو فهرست آدرس از این کارگزارها می‌کند: 

  • آدرس‌های هدف
  • آدرس‌های تغییر مسیر

اگر کاربر یکی از آدرس‌های هدف را در مرورگر وارد کند، بدافزار این آدرس را با آدرس‌های تغییر مسیر، تعویض می‌کند. این آدرس‌های تغییر مسیر می‌توانند صفحات تبلیغاتی و یا صفحاتی که امکان بارگیری بدافزار‌های بیش‌تر را فراهم می‌کنند، باشند. 

 نتایج بررسی تشخیص بدافزار در وب‌گاه ویروس‌توتال به شرح زیر است:
 

پیوند ویروس‌توتالنرخ تشخیصMD5نام پرونده
پیوند ویروس‌توتال۳۰/۴۵ b2e70667ddaf5a83d43b8469c984353a                   VSSVC.EXE
پیوند ویروس‌توتال۳۷/۴۷ 25c1b9f8f03dcc3dca5fff16aa8802d2 chrome_frame_helper_exe

 

منبع: پلیس فتا




طبقه بندی: شبکه،  آموزشی،  اخبار فناوری،  سوالات و جواب نظرات، 
برچسب ها: امنیت، شبکه، ویروس توتال، ویروس، سیمانتک، دنیای مجازی، بدافزار،  

  • لحظه ها
  • بیا 2 اینجا
  • ضایعات