چطور با ویروس ایرانی «مارمولک» مقابله کنیم؟
ترفند کامپیوتر

چطور با ویروس ایرانی «مارمولک» مقابله کنیم؟

نویسنده : Mohammad JAVAD Ghandehari

بسياري از بدافزارهاي سارق اطلاعاتي که ما در کشورمان با آن‌ها برخورد مي‌کنيم، بدافزارهاي خارجي هستند. اگر حساب کاربري گوگل يا يکي از شبکه‌هاي اجتماعي يک کاربر به دست سارقان اطلاعاتي بيفتد، به احتمال زياد، منافعي از اين اطلاعات براي سارقان حاصل مي‌شود ولي حساب‌هاي بانکي ريالي به خصوص در شرايط اخير، منافع زيادي براي يک سارق اطلاعاتي خارجي نخواهد داشت.

اين جاست که بايد در مقابل سارقان اطلاعاتي ايراني نگراني بيشتري داشت، چرا که اين نوع سارق‌ها بيشترين سود را از سرقت اطلاعات يک کاربر ايراني مي‌برند. اگر چه اين نوع بدافزارها زياد نيستند اما وجود دارند.

به تازگي مرکز ماهر از انتشار يک بدافزار ايراني، موسوم به مارمولک خبر داده است؛ بدافزاري که يک Keylogger محسوب مي‌شود و عبارات تايپ شده به وسيله صفحه کليد را از سيستم‌هاي عامل ويندوز سرقت کرده و براي سارق ارسال مي‌نمايد.

به نقل از ماهر، حملات هدفمند از چندين مرحله تشکيل مي‌شوند که به زنجيره قتل APT شناخته مي‌شوند. مهاجمان به عنوان بخشي از فاز مسلح کردن خود، اغلب يک Payload را در يک فايل قرار مي‌دهند.

اين فايل پس از نصب، در فاز دستور و کنترل (C2) به مهاجم متصل مي‌شود. يک Payload بسيار معمول مورد استفاده بسياري از بدافزارهاي سرقت کلمه عبور، نرم افزار ثبت ضربات صفحه کليد (Keylogger) است.

هدف از ثبت ضربات صفحه کليد اين است که ضربات صفحه کليد کاربر ضبط شده و اطلاعات اعتباري و لينک‌هاي مورد استفاده او به منابع داخلي و خارجي جمع آوري گردد.

به تازگي يک بدافزار ايراني ثبت ضربات صفحه کليد شناسايي شده است که بر اساس همين روش، به سرقت اطلاعات کاربران ايراني و منطقه مشغول شده است. نخستين ظهور اين Keylogger به يک فروم در خاورميانه باز مي‌گردد. اگر چه ممکن است برخي Keylogger ها، ضربات صفحه کليد را براي مقاصد قانوني ثبت نمايند اما اين بدافزار قربانيان خود را با يک Payload پنهان گمراه مي‌سازد.

به نظر مي‌رسد که توليدکننده اين بدافزار، با قرار دادن آن در فروم مذکور، قصد حمله به ساير اعضا را داشته است. اين کار، يک روش کاملا مرسوم است که بسياري از بدافزارنويسان در جهان براي منتشر کردن بدافزار خود، از آن  بهره مي‌برند. نويسندگان بدافزار معمولا براي جلوگيري از شناسايي شدن بدافزار خود، از ابزارهاي ارزان و ساده‌اي استفاده مي‌کنند که بدافزار را با يک برنامه Runtime فشرده سازي يا رمزگذاري، تغيير مي‌دهد. در اين مورد خاص، فايل‌هاي مرتبط توسط يک نسخه تغيير يافته از ابزار مشهور UPX پنهان شده‌اند.

اين فايل در هنگام اجرا، يک کپي از خود را با نام Mcsng.sys در پوشه Sysytem32 ايجاد مي‌کند. اين بدافزار همچنين پردازشي را اجرا مي‌کند که فايل 1stmp.sys را در پوشه system32config جاي گذاري کرده و اطلاعات سرقت شده را در آن مي نويسد.

اگر چه پسوند اين فايل .sys (پسوند فايل‌هاي سيستمي) است اما در حقيقت اين فايل يک فايل سيستمي نيست. هدف اين فايل اين است که به عنوان يک فايل لاگ عمل کند. اطلاعات ذخيره شده در اين فايل، محتوي ضربات صفحه کليد کاربر است که به صورت رمز شده ذخيره شده‌اند. هر بار که يک کليد فشرده مي شود، اين پردازش، ضربات صفحه کليد را ثبت کرده، آن را رمز و به محتويات فايل 1stmp.sys اضافه مي‌کند. نويسنده اين بدافزار، از يک الگوريتم رمزگذاري ساده براي رمز کردن اطلاعات سرقت شده استفاده کرده است. اين بدافزار از رمزگذاري انتخابي با دو تکنيک استفاده مي‌کند. هر بايت درصورتي  که فرد باشد با استفاده از تکنيک 1 رمز مي‌شود و در صورتي  که زوج باشد، با استفاده از تکنيک 2 رمزگذاري مي‌گردد.

اين بدافزار در نوع خود، بدافزار پيشرفته‌اي محسوب مي‌شود و در کنار اطلاعات تايپ شده به وسيله صفحه کليد، اطلاعاتي از جمله محل تايپ شدن حروف، آدرس سايتي که کاربر در همان لحظه در آن قرار دارد و زمان تايپ حروف را نيز ذخيره مي‌کند.

پس از ثبت و رمز گذاري ضربات صفحه کليد قرباني، اين بدافزار اين اطلاعات را براي نويسنده خود ايميل مي‌کند. اين بدافزار همچنين نام رايانه و نام کاربر را نيز براي سازنده خود مي‌فرستد.

آنتي ويروس مک‌آفي اين تروجان keylogger و نسخه‌هاي مختلف آن را با عنوان Keylog-FAG شناسايي مي‌کند.

 

برچسب ها
درباره نویسنده
نظرات کاربران
کد امنیتی
دلنیا
دلنیا
٩٣/٠٩/٠٤
٠
٠
خیلیییییی جالبببببب بودممنونننننننننننن
Mohammad JAVAD Ghandehari
Mohammad JAVAD Ghandehari
٩٣/١٠/٢٥
٠
٠
خیییییییلیییییی ممنوووووون / قااااااابل ندددداااااشششششش
ali_sh
ali_sh
٩٣/٠٩/٠٤
٠
٠
آره اینو معلممون گفته سر کلاس / یکی از راهای مقابله باهاش هم اینکه وقتی داریم اطلاعات کارت عابر خودمون ر در یک درگاه اینترنتی وارد میکنیم اط صفحه کلید مجازی اون درگاه استفاده کنیم (البته برای رمز دوم و cvv2 و تاریخ انتقضا) :)
هاچ
هاچ
٩٣/٠٩/٠٤
٠
٠
ولی تا الان من به صفحه کلید مجازی اعتقاد نداشتم! البته اون 30-40 تومنی که تو حسابه منه فکر کنم دزده وقتی ببینه یه چیزیم بذاره روش برگردونه! :-؟؟
ali_sh
ali_sh
٩٣/٠٩/٠٤
٠
٠
مخصوصا توی کافینت ها / هاچ خانوم الان چیزی نیس خدارو چ دیدی شاید یوهو یه پول قلبمه اومد اونموقع چیییییییی؟؟
Mohammad JAVAD Ghandehari
Mohammad JAVAD Ghandehari
٩٣/١٠/٢٥
٠
٠
بعله 100%
ali_sh
ali_sh
٩٣/٠٩/٠٤
٠
٠
راستی ممنونم:)
Mohammad JAVAD Ghandehari
Mohammad JAVAD Ghandehari
٩٣/١٠/٢٥
٠
٠
قابلتو نداش عزیز
سلیمان حسنی
سلیمان حسنی
٩٣/٠٩/٠٤
٠
٠
سلام: سپاسگزارم.جاودان وسلامت باشید.
Mohammad JAVAD Ghandehari
Mohammad JAVAD Ghandehari
٩٣/١٠/٢٥
٠
٠
سلام / همچنین
علیرضا
علیرضا
٩٣/٠٩/٠٤
٠
٠
خیلی وارد مسائل تخصصیش نشده بودید؟ | آنتی ویروس های دیگه میشناسنش؟ نود32 دارم من (البته آپیدیت هم میشه هر روز)
ali_sh
ali_sh
٩٣/٠٩/٠٤
٠
٠
عالیه همین دیگه /
Mohammad JAVAD Ghandehari
Mohammad JAVAD Ghandehari
٩٣/١٠/٢٥
٠
٠
این نظر کاربران محترمه دیگه !! واسه انتی ویروس به سایت iransetup.com برین ضرر نداره !
kamran_shamshiri
kamran_shamshiri
٩٣/٠٩/٠٤
٠
٠
موفق باشید... عالی بود.
Mohammad JAVAD Ghandehari
Mohammad JAVAD Ghandehari
٩٣/١٠/٢٥
٠
٠
ممنون / همچنین
faride
faride
٩٣/٠٩/٠٥
٠
٠
الهی هرچی ویروسه بمیره!:/
Mohammad JAVAD Ghandehari
Mohammad JAVAD Ghandehari
٩٣/١٠/٢٥
٠
٠
آآآآآآآآمممممممیییییییننننن
پربازدیدتریـــن ها
یادداشت / راه یافته به مرحله نهایی

همواره شک مهمان من است

٩٦/٠١/٠٢
یادداشت / راه یافته به مرحله نهایی

تو ابراهیم نبودی

٩٦/٠١/٠٤
داستان / راه یافته به مرحله نهایی

تن‌های سرد

٩٦/٠١/٠٥
داستان / راه یافته به مرحله نهایی

نمی دانستم!

٩٦/٠١/٠٢
داستان / راه یافته به مرحله نهایی

غریبه ها

٩٦/٠١/٠٥
داستان / راه یافته به مرحله نهایی

یاکریم

٩٦/٠١/٠٤
داستان / راه یافته به مرحله نهایی

گوجه سبز

٩٦/٠١/٠٢
داستان / راه یافته به مرحله نهایی

خرده‌شیشه‌های تردید

٩٦/٠١/٠٥
یادداشت / راه یافته به مرحله نهایی

تردید، تصمیم و تغییر

٩٦/٠١/٠٢
داستان / راه یافته به مرحله نهایی

هنوز عاشقم بود؟!

٩٦/٠١/٠٤
داستان / راه یافته به مرحله نهایی

فقط به خاطر مانی

٩٦/٠١/٠٣
یادداشت / راه یافته به مرحله نهایی

چهل سالگی

٩٦/٠١/٠٣
داستان / راه یافته به مرحله نهایی

دخترکی با چشمان آبی رنگ

٩٦/٠١/٠٣
شعر / راه یافته به مرحله نهایی

یک جهان مقابل من

٩٦/٠١/٠٢
شعر / راه یافته به مرحله نهایی

حجم نبودنت

٩٦/٠١/٠٢
شعر / راه یافته به مرحله نهایی

بهلول

٩٦/٠١/٠٣
یادداشت / راه یافته به مرحله نهایی

انقلاب شکستن ظرف است

٩٦/٠١/٠٤
شعر / راه یافته به مرحله نهایی

شاه بی سپاه

٩٦/٠١/٠٢
داستان / راه یافته به مرحله نهایی

خيانت به معشوق سي‌سي

٩٦/٠١/٠٦
یادداشت / راه یافته به مرحله نهایی

ساعت بیست و پنج شب و روز سی و دوم ماه

٩٦/٠١/٠٥
تبلیغات
تبلیغات