نگاهی به بدافزار Win32/Morto

نگاهی به بدافزار Win32/Morto
  • 1390/7/27
  • علیرضا
  • 2

اینترنت ، برنامه های کامپیوتری و کاربران . در واقع این یک حلقه سالم در دنیای دیجیتال است اما تغییر یک مورد از این سه مورد میتواند باعث بروز مشکلات زیادی شود . درست حدس زده اید ، برنامه های کامپیوتری ! در صورتی که این آیتم از ذات مفید خود فاصله بگیرد ، میتواند به یک سلاح بسیار قدرتمند و مخرب تبدیل شود .

مطمئنم که تا به حال در مورد انواع و اقسام بدافزارهای کامپیوتری مطالب مختلفی را خوانده اید و هیچکدام از شما به هیچ وجه دوست ندارید تا طعمه ی یکی از آنها شوید . مخصوصا که اگر مثل بدافزارهای خانواده Win32/Morto یکی از بد جنس ترین ها باشند .

این خانواده از بدافزارها جزو دسته ی کرم های کامپیوتری هستند . اولین نسخه از این کرم با نام Win32/Morto.A در تاریخ 27 آگوست 2011 شناسایی شد . البته نامگذاری این کرم در مرکز محافظت در برابر بدافزارهای شرکت مایکروسافت ( MPC ) صورت گرفته است . اما نام آن در سایر شرکت های امنیتی متفاوت است و حتی برخی از آنها نیز نوع این بدافزار را متفاوت اعلام کرده اند . در قسمت زیر نام هایی که شرکت های مختلف برای این بدافزار انتخاب کرده اند را با هم مشاهده میکنیم :

Trojan horse Generic24.OJQ – AVG

Trojan.DownLoader4.48720 – Dr.Web

Win-Trojan/Helpagent.7184 – AhnLab

Troj/Agent-TEE – Sophos

خلاصه :

هدف اصلی این کرم ، ایجاد دسترسی غیر مجاز به کامپیوترهای آلوده شده است . پس از اینکه کامپیوتر هدف آلوده شد ، Morto تلاش میکند تا به حساب کاربری مدیر ( Administrator ) دسترسی پیدا کند و این کار را با استفاده از حدس زدن کلمات عبور حساب مدیر سیستم انجام خواهد داد . پس انتخاب کلمات عبور ضعیف برای اکانت مدیریت ، کار Morto را راحت تر خواهد کرد .

نشانه های آلودگی :

Morto هم مانند هر بدافزار دیگری نشانه هایی دارد که تشخیص وجود یا عدم وجود آن را برای ما راحت تر خواهد کرد . به عنوان مثال وجود فایل های زیر در آدرس های مشخص شده میتواند احتمال آلوده شدن شما را بالا ببرد .

1- وجود فایلی با نام clb.dll در فولدر Windows

2- وجود فایلی با نام clb.dll.bak در فولدر Windows

3- وجود فایلی با نام ntshrui.dll در مسیر Windwos emp

4- وجود فایلی با نام sens32.dll در مسیر WindowsSystem

5- وجود فایلی با نام cache.txt در مسیر Windowsoffline web pages

همچنین بایستی کاوش در رجیستری ویندوز را آغاز کنید . وجود تغییرات زیر هم میتواند به شما در کشف آلودگی کمک کند .

نکته : در رجیستری چند شاخه اصلی وجود دارد که یکی از آنها HKEY_LOCAL_MACHINE میباشد . در زیر به منظور کوتاه کردن جملات از اختصار HKLM برای این شاخه استفاده شده است .

1- وجود آیتم های زیر در زیرکلید HKLMSYSTEMWpa :

It – id – sn – ie – md – sr

2- وجود آیتم NoPopUpsOnBoot با مقدار داده ای 1 در زیرکلید HKLMSYSTEMCurrentControlSetControlWindows

3- وجود آیتم ServiceDll با مقدار داده ای windir% emp
tshrui.dll% در زیرکلید HKLMSYSTEMCurrentControlSetServices6to4Parameters

4- وجود آیتم Description با مقدار داده ای 0 در زیرکلید HKLMSYSTEMCurrentControlSetServices6to4

5- وجود آیتم DependOnService با مقدار داده ای 0 در زیرکلید HKLMSYSTEMCurrentControlSetServicesSens

6- وجود آیتم ServiceDll با مقدار داده ای system folder>sens32.dll> در زیرکلید HKLMSYSTEMCurrentControlSetServicesSensParameters

Morto چگونه در سیستم نصب میشود ؟

Morto دارای چند کامپوننت ، یک نصاب ( Installer ) و یک فایل DLL میباشد . هنگامی که اینستالر اجرا شود ، فایل DLL با عنوان clb.dll در دایرکتوری Windows قرار خواهد گرفت و همچنین فایل cache.txt در مسیر windowsoffline web pages ایجاد خواهد شد . اگر Morto آپدیت شود ، یک فایل بک آپ به نام clb.dll.bak در سیستم ایجاد خواهد شد . همچنین کامپوننت اجرایی نیز یک کد رمزنگاری شده را در کلید رجیستری HKLMSYSTEMWPAmd خواهد نوشت و سپس عملیات خاتمه خواهد یافت .

فایل clb.dll به این دلیل نامگذاری شده است که همین نام اشاره به یک کامپوننت سالم ویندوزی دارد که توسط رجیستری مورد استفاده قرار میگیرد . Morto پس از فعال شدن در سیستم ، رجیستری را به شکل تغییر میدهد تا به جای فایل اصلی clb.dll ، فایل آلوده و مربوط به خودش را اجرا کند . در واقع وظیفه فایل clb.dll این است تا اطلاعات پیکربندی رمزنگاری شده را به رجیستری اضافه کند و سبب دانلود و اجرای کامپوننت های جدید شود .

روش های شیوع :

به خطر انداختن ارتباطات راه دور در یک شبکه ، پورت 3389 ( RDP ) : این کرم از طریق نفوذ به زیرشبکه های ( subnet ) کامپیوتر آلوده شده ، اقدام به تکثیر خود میکند .

لیست نام های کاربری که این کرم بروی کامپیوترهای ساب نت تست میکند :

1

actuser

adm

admin

admin2

administrator

aspnet

backup

computer

console

david

guest

john

owner

root

server

sql

support

support_388945a0

sys

test2

test3

user

user1

user5

لیست کلمات عبوری که بروی کامپیوترهای ساب نت تست میشود :

*1234

0

111

123

369

1111

12345

111111

123123

123321

123456

168168

520520

654321

666666

888888

1234567

12345678

123456789

1234567890

!@#$%^

%u%

%u%12

1234qwer

1q2w3e

1qaz2wsx

aaa

abc123

abcd1234

admin

admin123

letmein

pass

password

server

test

user

اگر Morto بتواند به سیستمی نفوذ کند ، فایل های clb.dll و a.dll را کپی کرده و همچنین یک فایل با پسوند REG در سیستم ایجاد خواهد کرد .

بروزرسانی کرم :

پس از فعال شدن Morto در سیستم ، اقدام به برقراری ارتباط با آدرس های زیر به منظور دریافت اطلاعات و همچنین بروزرسانی خود میکند .

210.3.38.82

jifr.info

jifr.co.cc

jifr.co.be

jifr.net

qfsl.net

qfsl.co.cc

qfsl.co.be

در بین آدرس های بالا ، 2 دامنه بین المللی ( net و info ) و دو دامنه مربوط به مناطق خاص به چشم میخورد . دامنه co.cc که مربوط به جزایر کوکوس استرالیا میباشد ( که البته فراگیری عمومی دارد و سایت های وطنی زیادی با این نام دامنه وجود دارند ) و دامنه co.be نیز مربوط به کشور بلژیک است .

اجرای حملات DOS :

احتمال این مورد نیز میرود که Morto ، سیستم آلوده شده را به شکل یک زامبی برای حمله به اهداف مورد نظر هکر بکار گیرد .

از کار انداختن برخی پردازش ها :

میتوان با قاطعیت گفت که همه بدافزارها تمام تلاش خود را میکنند تا مانع از کار نرم افزارهای امنیتی شوند . هر کدام هم به طریقی این کار را انجام میدهند . یکی از این روش ها ، از کار انداختن پردازش مربوط به برنامه های امنیتی است . Morto تلاش میکند تا پردازش های زیر که بیشتر مربوط به برنامه های امنیتی هستند را از کار بیندازد . لیستی از این پردازش ها را در قسمت زیر مشاهده میکنید :

ACAAS

360rp

a2service

ArcaConfSV

AvastSvc

avguard

avgwdsvc

avp

avpmapp

ccSvcHst

cmdagent

coreServiceShell

ekrn

FortiScand

FPAVServer

freshclam

fsdfwd

GDFwSvc

K7RTScan

knsdave

KVSrvXP

kxescore

mcshield

MPSvc

MsMpEng

NSESVC.EXE

PavFnSvr

RavMonD

SavService

scanwscs

SpySweeper

Vba32Ldr

vsserv

zhudongfangyu

پاکسازی ردپاها :

طبیعی است که خرابکارها همیشه ردپای خود را پاک میکنند . ولی در اینکه چقدر در اینکار موفق باشند ، بستگی به خودشان دارد . اما تا اینجای کار میدانیم که Morto گزارشات سیستمی زیر را حذف میکند :

Applications

Security

System

نسخه های بعدی :

در حال حاضر نسخه دوم که با نام Morto.B شناخته میشود نیز منتشر شده و در حال آلوده سازی کامپیوترهاست . گرچه آزمایشگاه کسپرسکی خبر از انتشار نسخه سوم با نام Morto.C نیز داده است . نسخه های بعدی به مراتب سریع تر و تهاجمی تر هستند .

پیشگیری :

در حال حاضر آنتی ویروس ها و برنامه های امنیتی ، Morto را به دام می اندازند . اما با توجه به آپدیت های سریع این کرم ، باید تمامی موارد امنیتی را رعایت کرده و هیچ غفلتی در انجام این کارها نکنید .

برخی از مواردی که میتوان به آنها اشاره کرد عبارتند از :

1- فعال سازی فایروال سیستم و یا استفاده از یک فایروال قدرتمند و مجزا .

2- دریافت آخرین آپدیت های ویندوز .

3- محدود کردن دسترسی کاربران به سایر قسمت های سیستم . به عنوان مثال نیازی نیست همه کاربران از اکانتی با مجوزهای دسترسی بالا استفاده کنند .

4- اسکن کامل سیستم با استفاده از یک آنتی ویروس آپدیت شده و قدرتمند .

5- احتیاط در برخورد با فایل های ضمیمه شده ایمیل ها و فایل های رد و بدل شده در شبکه ها .

6- احتیاط در وبگردی های شما . مخصوصا کلیک بروی لینک هایی که از سالم بودنشان اطمینان ندارید .

7- دانلود نکردن نرم افزارها از وبسایت های نامعتبر .

8- مراقبت بیشتر در هنگام فعالیت در شبکه های اجتماعی .

9- انتخاب کلمات عبور قدرتمند برای محافظت از حساب های کاربری .

منبع

در صورت آلودگی :

در صورتی که علائم آلودگی در سیستم شما مشاهده شد ، میتوانید از روش های زیر استفاده کنید .

1- استفاده از آنتی ویروس ها قبل از بارگذاری شدن کامل ویندوز : در واقع این روش در اکثر مواقع به درستی کار میکند . در صورتی که بدین شکل از نرم افزارهای امنیتی استفاده کنید ، میتوانید از قبل فعال شدن بدافزار در سیستم ، یک اسکن کامل انجام دهید تا در صورت وجود آلودگی ، بتوانید آن را برطرف کنید . در صورتی که مایل به انجام اینکار هستید میتوانید این مطلب را از گویا آی تی مطالعه کنید .

2- اسکن درایوهای ویندوزی در توزیع های لینوکسی : این روش هم واقعا روش کارآمدیست . در صورتی که سیستم را با یک دیسک زنده ( Live CD ) از برخی توزیع های لینوکسی مثل ابونتو بالا بیاورید ، میتوانید بدون فعال شدن بدافزار ، سیستم را به شکل کامل اسکن کنید . چون این بدافزار برای ویندوز طراحی شده است و در لینوکس هیچگونه اثری نخواهد داشت . در صورت تمایل به انجام این روش ، مطالعه این مطلب را از وبسایت نگهبان پیشنهاد میکنیم .

دیدگاه خود را وارد کنید
تعداد دیدگاه ها : 2 دیدگاه
  1. درود بر شما؛ واقعا فوق العاده بود، فقط یک سوال شما گفتین که “…دامنه co.cc که مربوط به جزایر کوکوس استرالیا میباشد…” من یه افزونه ای روی FireFox دارم که دامنه co.cc رو کشور فرانسه تشخیص میده ! (چجوریاس ؟!)

    1. سلام میثم جان .
      خواهش میکنم رفیق .
      الان اینو داخل ویکی پدیا پیدا کردم .

      موفق باشی . راستی ایول واسه کنجکاویت 😉

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *