تاریخ:
چطور از نمایشگاه مجازی کتاب بخریم؟ 
درس چهلم
تروجانی که آنتیویروس ها را دور میزند
یک عملیات اسپمی در حال انتشار یک تروجان با دسترسی از راه دور (RAT) است که از چندین روش برای فریب دادن ضدویروسهای مبتنی بر امضا استفاده میکند.
این RAT که با نام Adwind شناخته میشود، پیشتر صنایع مختلفی را در جهان مورد هدف قرار داده است. این تروجان اکنون مجهز به toolkit جدیدی است تا بتواند از سیستمها سوءاستفاده کند.
به گزارش ایسنا، تروجان توسط Cisco Talos و ReversingLabs مورد بررسی قرار گرفته است. این تروجان همچنین با نامهای AlienSpy، JSocket و jRat نیز شناخته میشود و دارای قابلیتهای زیادی است. تروجان قادر به جمعآوری اطلاعات رایانه و کلیدهای فشرده شده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرمهای وب را نیز به سرقت میبرد.
بدافزار قادر به ضبط ویدئو، صدا و گرفتن تصاویر اسکرینشات نیز است. علاوه بر این، تروجان میتواند فایلهای سیستم را بدون اطلاع کاربر منتقل کند. در نسخههای جدیدتر این تروجان، تلاش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستمهای آلوده نیز انجام میشود.
تروجان ابتدا از طریق عملیات فیشینگ منتقل میشود و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری میکند و پس از اجرا به سرور کنترل و فرمان (C&C) متصل میشود و بدنههای بیشتر را بارگیری میکند تا دادههای سیستم آلوده را به سرقت ببرد.
این بدافزار در گذشته با حداقل ۴۰۰ هزار حمله علیه کسبوکارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده شده است، از Adwind ۳,۰ که آخرین نسخه آن است استفاده شد. در این حملات سیستمهای ویندوز، لینوکس و مک مورد هدف قرار گرفتند.
همچنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامههای ضد ویروس مبتنی بر امضا بهرهبرداری شده است. در عملیات فیشینگ پیامهای مخرب حاوی فایلهای CSV و XLT (هر دو به صورت پیشفرض با نرمافزار اکسل باز میشوند) ارسال میشوند. فایلهای مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره میبرند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده میکند.
پژوهشگران Cisco Talos میگویند که تکنیک جدیدی برای مبهمسازی در حملات استفاده شده است که از طریق آن بخش اول فایل بدون سرایند است و برنامههای ضدویروس را به اشتباه میاندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن را به عنوان یک فایل خراب تشخیص میدهد.
کد مخرب یک اسکریپت Visual Basic را ایجاد میکند که از bitasdmin بهره میبرد. ابزار bitasdmin نرمافزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیتها و نظارت بر فرایند پردازشی آنهاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده شده است. این بسته در ادامه از حالت فشرده خارج میشود و تروجان Adwind را پیادهسازی میکند.
لینک کوتاه: کپی لینک
فرمول ساده مقابله با دلشوره؛ وقتی ذهن سناریوهای ترسناک میسازد «سرزمین زنان» در چین؛ قبیلهای مادرسالار که ازدواج در آن وجود ندارد(+عکس) داخل دلمه چه سبزی و چقدر بریزیم؟ / ترکیب و نسبت سبزی دلمه برگ مو پادشاه دادگر شاهنامه به کدام کوه پناه برد؟ /ماجرای ۲ کوهی که محلی ها معتقدند پناهگاه این پادشاه شد چگونه قاچاقچیان الکل بزرگترین مسابقات اتومبیلرانی آمریکا را پدید آوردند؟ در تله خشم نیفتید؛ راهکارهایی برای مهار واکنشهای عصبی ۱۰ وسیلهای که باید دور بریزید! بحرانِ وجدان؛ چرا وقتی میخوابیم احساس گناه میکنیم؟ اگر در خرید انواع برنج ایرانی سررشته ندارید حتما این مطلب را بخوانید چگونه از نو شروع کنیم:۲۱ توصیه تاثیرگذار برای بازگشت به زندگی آیا هرمهای بوسنی واقعا منبع انرژی و درمان هستند؟ ۱۲ عادت خوب که اگر زیاده روی کنید به ضررتان تمام می شوند طب جایگزین چیست؟ یک لپ تاپ واقعی داخل قوطی آبنبات جا شد؛ عجیب ترین کامپیوتر جیبی جهان گوگل بوک چیست؟ لپ تاپ جدید گوگل با اندروید و Chrome OS در راه است