نسخه ی جدیدی از بدافزار Shamoon

شركت امنیتی سیمانتك پس از كشف نوع جدیدی از بدافزار Shamoon، هشدارهایی را منتشر كرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،شركت امنیتی سیمانتك پس از كشف نوع جدیدی از بدافزار Shamoon، هشدارهایی را منتشر كرد. این نسخه جدید با عنوان W۳۲.Disttrack توسط شركت سیمانتك كشف شده است و فایل ها را تخریب و حذف می نماید، هم چنین فایل MBR را تخریب كرده و پارتیشن های فعال ماشین آلوده شده را تغییر می دهد.

در نسخه پیشین این بدافزار، داده های ماشین آلوده شده از طریق بلوك های ۱۹۲ كیلو بایتی كه با فلگ های مخرب پر شده بودند، بازنویسی می شدند. نسخه جدید از همان سایز بلوك استفاده می كند با این تفاوت كه بلوك ها را با استفاده از داده هایی كه به طور تصادفی تولید می شوند، پر می كند.

زمان پاك كردن اطلاعات از یك فایل .pnf كه بر روی سیستم ایجاد شده است، خوانده می شود. در این بدفزار زمان به صورت دوره ای بررسی می شود و سپس عملیات پاك كردن اجرا می گردد.

این بدافزار از طریق باز و بسته كردن فایل های زیر به دنبال هدف خود می گردد و از این طریق نیز حق دسترسی ها را تعیین می كند:

\\[TARGET IP]\ADMIN$\system۳۲\csrss.exe
\\[TARGETIP]\C$\WINDOWS\system۳۲\csrss.exe
\\[TARGETIP]\D$\WINDOWS\system۳۲\csrss.exe
\\[TARGET IP]\E$\WINDOWS\system۳۲\csrss.exe

با توجه به تیم امنیتی سیمانتك:اگر این بدافزار هدف خود را پیدا كند، خود را از راه دور در دایركتوری system۳۲ كپی می كند و تلاش می كند تا خودش را با استفاده از فایل psexec.exe اجرا نماید. اگر در این مرحله موفق نشود، خودش را به عنوان یك سرویس از راه دور لود خواهد كرد.

هدف نسخه جدید بدافزار Shamoon، فولدرهایی است كه حاوی نام های دانلود، اسناد، عكس، موسیقی، ویدئو و رومیزی است. این بدافزار می تواند خودش را از طریق به اشتراك گذاری در شبكه محلی گسترش دهد. به طور معمول، این بدافزار كنترل تمامی اعتبارنامه های دامنه را در اختیار خودش می گیرد و بدین ترتیب دسترسی تمامی ماشین های روی دامنه محلی را بدست می آورد.

منبع : ماهر