نگاهی به بدافزار Win32/Morto
اینترنت ، برنامه های کامپیوتری و کاربران . در واقع این یک حلقه سالم در دنیای دیجیتال است اما تغییر یک مورد از این سه مورد میتواند باعث بروز مشکلات زیادی شود . درست حدس زده اید ، برنامه های کامپیوتری ! در صورتی که این آیتم از ذات مفید خود فاصله بگیرد ، میتواند به یک سلاح بسیار قدرتمند و مخرب تبدیل شود .
مطمئنم که تا به حال در مورد انواع و اقسام بدافزارهای کامپیوتری مطالب مختلفی را خوانده اید و هیچکدام از شما به هیچ وجه دوست ندارید تا طعمه ی یکی از آنها شوید . مخصوصا که اگر مثل بدافزارهای خانواده Win32/Morto یکی از بد جنس ترین ها باشند .
این خانواده از بدافزارها جزو دسته ی کرم های کامپیوتری هستند . اولین نسخه از این کرم با نام Win32/Morto.A در تاریخ 27 آگوست 2011 شناسایی شد . البته نامگذاری این کرم در مرکز محافظت در برابر بدافزارهای شرکت مایکروسافت ( MPC ) صورت گرفته است . اما نام آن در سایر شرکت های امنیتی متفاوت است و حتی برخی از آنها نیز نوع این بدافزار را متفاوت اعلام کرده اند . در قسمت زیر نام هایی که شرکت های مختلف برای این بدافزار انتخاب کرده اند را با هم مشاهده میکنیم :
Trojan horse Generic24.OJQ – AVG
Trojan.DownLoader4.48720 – Dr.Web
Win-Trojan/Helpagent.7184 – AhnLab
Troj/Agent-TEE – Sophos
خلاصه :
هدف اصلی این کرم ، ایجاد دسترسی غیر مجاز به کامپیوترهای آلوده شده است . پس از اینکه کامپیوتر هدف آلوده شد ، Morto تلاش میکند تا به حساب کاربری مدیر ( Administrator ) دسترسی پیدا کند و این کار را با استفاده از حدس زدن کلمات عبور حساب مدیر سیستم انجام خواهد داد . پس انتخاب کلمات عبور ضعیف برای اکانت مدیریت ، کار Morto را راحت تر خواهد کرد .
نشانه های آلودگی :
Morto هم مانند هر بدافزار دیگری نشانه هایی دارد که تشخیص وجود یا عدم وجود آن را برای ما راحت تر خواهد کرد . به عنوان مثال وجود فایل های زیر در آدرس های مشخص شده میتواند احتمال آلوده شدن شما را بالا ببرد .
1- وجود فایلی با نام clb.dll در فولدر Windows
2- وجود فایلی با نام clb.dll.bak در فولدر Windows
3- وجود فایلی با نام ntshrui.dll در مسیر Windwos emp
4- وجود فایلی با نام sens32.dll در مسیر WindowsSystem
5- وجود فایلی با نام cache.txt در مسیر Windowsoffline web pages
همچنین بایستی کاوش در رجیستری ویندوز را آغاز کنید . وجود تغییرات زیر هم میتواند به شما در کشف آلودگی کمک کند .
نکته : در رجیستری چند شاخه اصلی وجود دارد که یکی از آنها HKEY_LOCAL_MACHINE میباشد . در زیر به منظور کوتاه کردن جملات از اختصار HKLM برای این شاخه استفاده شده است .
1- وجود آیتم های زیر در زیرکلید HKLMSYSTEMWpa :
It – id – sn – ie – md – sr
2- وجود آیتم NoPopUpsOnBoot با مقدار داده ای 1 در زیرکلید HKLMSYSTEMCurrentControlSetControlWindows
3- وجود آیتم ServiceDll با مقدار داده ای windir% emp
tshrui.dll% در زیرکلید HKLMSYSTEMCurrentControlSetServices6to4Parameters
4- وجود آیتم Description با مقدار داده ای 0 در زیرکلید HKLMSYSTEMCurrentControlSetServices6to4
5- وجود آیتم DependOnService با مقدار داده ای 0 در زیرکلید HKLMSYSTEMCurrentControlSetServicesSens
6- وجود آیتم ServiceDll با مقدار داده ای system folder>sens32.dll> در زیرکلید HKLMSYSTEMCurrentControlSetServicesSensParameters
Morto چگونه در سیستم نصب میشود ؟
Morto دارای چند کامپوننت ، یک نصاب ( Installer ) و یک فایل DLL میباشد . هنگامی که اینستالر اجرا شود ، فایل DLL با عنوان clb.dll در دایرکتوری Windows قرار خواهد گرفت و همچنین فایل cache.txt در مسیر windowsoffline web pages ایجاد خواهد شد . اگر Morto آپدیت شود ، یک فایل بک آپ به نام clb.dll.bak در سیستم ایجاد خواهد شد . همچنین کامپوننت اجرایی نیز یک کد رمزنگاری شده را در کلید رجیستری HKLMSYSTEMWPAmd خواهد نوشت و سپس عملیات خاتمه خواهد یافت .
فایل clb.dll به این دلیل نامگذاری شده است که همین نام اشاره به یک کامپوننت سالم ویندوزی دارد که توسط رجیستری مورد استفاده قرار میگیرد . Morto پس از فعال شدن در سیستم ، رجیستری را به شکل تغییر میدهد تا به جای فایل اصلی clb.dll ، فایل آلوده و مربوط به خودش را اجرا کند . در واقع وظیفه فایل clb.dll این است تا اطلاعات پیکربندی رمزنگاری شده را به رجیستری اضافه کند و سبب دانلود و اجرای کامپوننت های جدید شود .
روش های شیوع :
به خطر انداختن ارتباطات راه دور در یک شبکه ، پورت 3389 ( RDP ) : این کرم از طریق نفوذ به زیرشبکه های ( subnet ) کامپیوتر آلوده شده ، اقدام به تکثیر خود میکند .
لیست نام های کاربری که این کرم بروی کامپیوترهای ساب نت تست میکند :
1
actuser
adm
admin
admin2
administrator
aspnet
backup
computer
console
david
guest
john
owner
root
server
sql
support
support_388945a0
sys
test2
test3
user
user1
user5
لیست کلمات عبوری که بروی کامپیوترهای ساب نت تست میشود :
*1234
0
111
123
369
1111
12345
111111
123123
123321
123456
168168
520520
654321
666666
888888
1234567
12345678
123456789
1234567890
!@#$%^
%u%
%u%12
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin
admin123
letmein
pass
password
server
test
user
اگر Morto بتواند به سیستمی نفوذ کند ، فایل های clb.dll و a.dll را کپی کرده و همچنین یک فایل با پسوند REG در سیستم ایجاد خواهد کرد .
بروزرسانی کرم :
پس از فعال شدن Morto در سیستم ، اقدام به برقراری ارتباط با آدرس های زیر به منظور دریافت اطلاعات و همچنین بروزرسانی خود میکند .
210.3.38.82
jifr.info
jifr.co.cc
jifr.co.be
jifr.net
qfsl.net
qfsl.co.cc
qfsl.co.be
در بین آدرس های بالا ، 2 دامنه بین المللی ( net و info ) و دو دامنه مربوط به مناطق خاص به چشم میخورد . دامنه co.cc که مربوط به جزایر کوکوس استرالیا میباشد ( که البته فراگیری عمومی دارد و سایت های وطنی زیادی با این نام دامنه وجود دارند ) و دامنه co.be نیز مربوط به کشور بلژیک است .
اجرای حملات DOS :
احتمال این مورد نیز میرود که Morto ، سیستم آلوده شده را به شکل یک زامبی برای حمله به اهداف مورد نظر هکر بکار گیرد .
از کار انداختن برخی پردازش ها :
میتوان با قاطعیت گفت که همه بدافزارها تمام تلاش خود را میکنند تا مانع از کار نرم افزارهای امنیتی شوند . هر کدام هم به طریقی این کار را انجام میدهند . یکی از این روش ها ، از کار انداختن پردازش مربوط به برنامه های امنیتی است . Morto تلاش میکند تا پردازش های زیر که بیشتر مربوط به برنامه های امنیتی هستند را از کار بیندازد . لیستی از این پردازش ها را در قسمت زیر مشاهده میکنید :
ACAAS
360rp
a2service
ArcaConfSV
AvastSvc
avguard
avgwdsvc
avp
avpmapp
ccSvcHst
cmdagent
coreServiceShell
ekrn
FortiScand
FPAVServer
freshclam
fsdfwd
GDFwSvc
K7RTScan
knsdave
KVSrvXP
kxescore
mcshield
MPSvc
MsMpEng
NSESVC.EXE
PavFnSvr
RavMonD
SavService
scanwscs
SpySweeper
Vba32Ldr
vsserv
zhudongfangyu
پاکسازی ردپاها :
طبیعی است که خرابکارها همیشه ردپای خود را پاک میکنند . ولی در اینکه چقدر در اینکار موفق باشند ، بستگی به خودشان دارد . اما تا اینجای کار میدانیم که Morto گزارشات سیستمی زیر را حذف میکند :
Applications
Security
System
نسخه های بعدی :
در حال حاضر نسخه دوم که با نام Morto.B شناخته میشود نیز منتشر شده و در حال آلوده سازی کامپیوترهاست . گرچه آزمایشگاه کسپرسکی خبر از انتشار نسخه سوم با نام Morto.C نیز داده است . نسخه های بعدی به مراتب سریع تر و تهاجمی تر هستند .
پیشگیری :
در حال حاضر آنتی ویروس ها و برنامه های امنیتی ، Morto را به دام می اندازند . اما با توجه به آپدیت های سریع این کرم ، باید تمامی موارد امنیتی را رعایت کرده و هیچ غفلتی در انجام این کارها نکنید .
برخی از مواردی که میتوان به آنها اشاره کرد عبارتند از :
1- فعال سازی فایروال سیستم و یا استفاده از یک فایروال قدرتمند و مجزا .
2- دریافت آخرین آپدیت های ویندوز .
3- محدود کردن دسترسی کاربران به سایر قسمت های سیستم . به عنوان مثال نیازی نیست همه کاربران از اکانتی با مجوزهای دسترسی بالا استفاده کنند .
4- اسکن کامل سیستم با استفاده از یک آنتی ویروس آپدیت شده و قدرتمند .
5- احتیاط در برخورد با فایل های ضمیمه شده ایمیل ها و فایل های رد و بدل شده در شبکه ها .
6- احتیاط در وبگردی های شما . مخصوصا کلیک بروی لینک هایی که از سالم بودنشان اطمینان ندارید .
7- دانلود نکردن نرم افزارها از وبسایت های نامعتبر .
8- مراقبت بیشتر در هنگام فعالیت در شبکه های اجتماعی .
9- انتخاب کلمات عبور قدرتمند برای محافظت از حساب های کاربری .
منبع
در صورت آلودگی :
در صورتی که علائم آلودگی در سیستم شما مشاهده شد ، میتوانید از روش های زیر استفاده کنید .
1- استفاده از آنتی ویروس ها قبل از بارگذاری شدن کامل ویندوز : در واقع این روش در اکثر مواقع به درستی کار میکند . در صورتی که بدین شکل از نرم افزارهای امنیتی استفاده کنید ، میتوانید از قبل فعال شدن بدافزار در سیستم ، یک اسکن کامل انجام دهید تا در صورت وجود آلودگی ، بتوانید آن را برطرف کنید . در صورتی که مایل به انجام اینکار هستید میتوانید این مطلب را از گویا آی تی مطالعه کنید .
2- اسکن درایوهای ویندوزی در توزیع های لینوکسی : این روش هم واقعا روش کارآمدیست . در صورتی که سیستم را با یک دیسک زنده ( Live CD ) از برخی توزیع های لینوکسی مثل ابونتو بالا بیاورید ، میتوانید بدون فعال شدن بدافزار ، سیستم را به شکل کامل اسکن کنید . چون این بدافزار برای ویندوز طراحی شده است و در لینوکس هیچگونه اثری نخواهد داشت . در صورت تمایل به انجام این روش ، مطالعه این مطلب را از وبسایت نگهبان پیشنهاد میکنیم .
درود بر شما؛ واقعا فوق العاده بود، فقط یک سوال شما گفتین که “…دامنه co.cc که مربوط به جزایر کوکوس استرالیا میباشد…” من یه افزونه ای روی FireFox دارم که دامنه co.cc رو کشور فرانسه تشخیص میده ! (چجوریاس ؟!)
سلام میثم جان .
خواهش میکنم رفیق .
الان اینو داخل ویکی پدیا پیدا کردم .
موفق باشی . راستی ایول واسه کنجکاویت 😉