جاسوسی از طریق فایل دادسرا کشف شد + راهکار مقابله

کلاهبرداران سایبری اخیرا با انتشار فایلی که اسم «دادسرا» را با خود یدک می‌کشد و اینگونه القا می‌کند که حاوی اطلاعات الکترونیکی مربوط به دادسرا است اقدام به جاسوسی از دانلود کنندگان کردند که راهکارهای مقابله با آن کشف شده است.

به گزارش خبرنگار فناوری اطلاعات و ارتباطات باشگاه خبرنگاران پویا؛ بدافزار E_Dadsara نمونه‌ای جاسوس‌افزار به حساب می‌آید که اخیرا در ایران مشاهده شده و از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها (Folders) در ویندوز استفاده می‌کند.

کاربران با توجه به عنوان جالب توجهی (اطلاعات الکترونیکی دادسرا) که برای آن در نظر گرفته شده راغب به باز کردن فایل می‌شوند، در صورتیکه نسبت به جاسوس‌افزار بودن آن غافل هستند.

هدف اصلی این جاسوس‌افزار براساس واکاوی که از آن صورت گرفته، سرقت اطلاعات قربانی به خصوص اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، عکس گرفتن از سیستم قربانی و ضبط برنامه‌های اجرا شده است.

بیشتر بخوانید: کشف «باج‌افزاری جدید» با زمینه فارسی به نام TYRANT که صفحه باج‌خواهی به زبان فارسی دارد !

نحوه شناسایی سیستم آلوده از طریق لاگ‌های شبکه

تمامی سیستم‌هایی از شبکه که با آدرس ftp://files.000webhost.com/public_html/Kl36z0fHjrKlemente602KA1/ در ارتباط باشند (با توجه به اینکه ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستم‌های میزبان نیز در نظر گرفته شود).

راهکار بررسی وجود آلودگی براساس گزارش ماهر نیز به این شرح است:

1.    وجود پوشه‌ای در مسیر زیر در سیستم:
%AppData%Roaming\Adobe\Flash player\AFCache
که در آن فایلی با نام syslog.dat و پوشه‌ای دیگر با نام err قرار گرفته‌اند.

2.    وجود فایلی با مشخصات زیر در سیستم:
%AppData%Roaming\Adobe\HostService.exe

3.    وجود زیرکلیدی با نام HostService (که مقدار آن مشخصات فایل معرفی شده در قسمت 2 است) در مسیر رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run

4.    وجود کلید رجیستری در مسیرهای زیر:
HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe

نحوه پاکسازی سیستم نیز به این شرح است:

1.    پایان دادن به پردازه HostService.exe در صورتیکه سیستم در حال اجرای آن است.
2.    حذف فایل‌ها و کلید رجیستری ایجاد شده (در صورت وجود) که در قسمت قبلی به آن اشاره شده است.

برای بررسی پاک بودن سیستم باید به این راهکارها توجه کرد:

1.    نبود مقدار زیر در کلید رجیستری ویندوز:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService
2.    نبود فایل‌هایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
3.    نبود ارتباطات FTP که در فرآیند احراز هویت، از نام کاربری solmondesigner استفاده شده باشد.

توصیه‌های امنیتی که برای پیشگیری ارائه شده نیز به شرح زیر است:

1.    خودداری از باز کردن مستندات الحاق شده به ایمیل‌های ناشناس و...
2.    به‌روز بودن نرم‌افزار ضدبدافزار نصب شده بر روی سیستم
3.    فعال کردن ویژگی نمایش پسوند فایل‌ها در ویندوز و احتیاط در اجرای فایل‌های دارای پسوند

انتهای پیام/