شرح کلی
نوع: کرم (Worm)
اسامی بدافزار:
Worm.JS.Boxter.n
Worm.Win32.Boxter.lnk
درجه تخریب: بالا
میزان شیوع: متوسط
کرم (worm) چیست؟
کرمهای کامپیوتری همچون Boxter نوعی از بدافزار محسوب میشوند که توان تکثیر کردن خود را بهصورت خودکار دارند. کرمها برای بقا، روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه هست.
بدافزار Boxter چیست؟
این بدافزار در قالب سرویس و دستوراتی که از سوی هکر دریافت میکند به صورت command & control، کنترل سیستم قربانی را از راه دور بدست میگیرد و همچنین به ذخیره اطلاعات سیستم و سرقت اطلاعات مرورگر پرداخته و اطلاعات ذخیره شده را به هکر ارسال میکند.
در اولین اجرا، نسخههایی از فایل js خود را در مکانهای مختلف سیستم ایجاد و برای بقای خود کلید رجیستریهایی را ایجاد میکند.
این کرم از طریق ایمیل و درایوهای قابل حمل با ایجاد فایل lnk منتشر میشود. همچنین قابلیت غیر فعال کردن سرویسهای امنیتی مانند UAC را در سیستم قربانی دارد.
این بدافزار دارای ماژول Keylogger میباشد که کلیدهای فشرده شده توسط صفحه کلید را ذخیره میکند، همچنین سعی میکند به آدرسهایی با پورت مشخص جهت دانلود متصل شود.
علاوه بر این، بدافزار قابلیت نصب، بهروزرسانی و حذف کردن خود را دارد.
توضیحات فنی
علائم آلودگی
- وجود فایل js با نام تصادفی در مسیر %appdata%
- پنهان شدن ناگهانی فایلهای داخل usb یا سایر درایوهای قابل حمل در هنگام اتصال به سیستم
- وجود فایلهای lnk ناشناس در usb
- خاموش شدن یا ریستارت ناگهانی سیستم
شرح عملکرد
بدافزار در قالب یک فایل lnk منتشر میشود. با اجرای این lnk فایل پاورشلی دانلود و اجرا میشود که یک فایل js شامل کد base64 ایجاد میکند. این فایل عملیات اصلی بدافزار را انجام میدهد.
این بدافزار فایل js خود را در مسیرهای زیر با نام تصادفی کپی میکند:
root]:\Users\Public\”random name”.jpg]
root]:\Users\Public\”random name”.js]
root]:\Users\user\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\”randomn ame”.js]
root]:\Users\user\AppData\Roaming\”random name”.js]
بدافزار همچنین در کلید رجیستری run در مسیر زیر برای خود بقا ایجاد میکند :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”random name”
مقادیر زیر تحت تابع disableSecurity در رجیستری قرار داده میشوند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,enableLUA , 0
این قابلیت، دو ویژگی AAM و UAC رافعال میکند که با ست کردن مقدار 0 توسط این بدافزار غیرفعال میشوند (UAC یک ویژگی امنیتی ویندوز است که به جلوگیری ازتغییرات غیرمجاز درسیستم عامل کمک میکند.)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,ConsentPromptBehaviorAdmin, 0
(این گزینه به Admin اجازه میدهد عملیاتی را بدون رضایت یا اعتبارسنجی انجام دهد.)
در جدول زیر لیست دستورات C&C سرویس بدافزار همراه با عملکرد آنها را مشاهده میکنید:
فرمان | عملکرد |
disconnect | پردازه اصلی بدافزار بسته میشود. |
reboot | راهاندازی مجدد سیستم |
shutdown | خاموش کردن سیستم |
execute | اجرای دستور مورد نظر هکر (مثلا اجرای یک فایل اجرایی یا کد خاص) |
install-sdk | اگر فایل %temp%\wshrat\python.exe وجود داشته باشد بدافزار پیام “SDK+Already+Installed” را به سرور هکر ارسال میکند و در غیر این صورت فایل wshsk.zip را از آدرس hxxp://2813.noip.me:2813/moz-sdk دانلود میکند و پیام“SDK+Installed” را به سرور میفرستد. |
get-pass | پسورد مرورگرهای مورد نظرش را به سرور میفرستد. |
get-pass-offline | پسورد تمام مرورگرهای نصب شده در سیستم قربانی را به سرور میفرستد. |
Update | اخرین نسخه فایل js خود را از سرور دانلود میکند. |
Uninstall | تمام فایلها و مقدارهای ست شده در رجیستری و startup ها حذف و همچنین فایل اجرایی بدافزار بسته میشود. |
up-n-exec | دانلود و اجرای فایلهای اجرایی مورد نظرش از سرور |
bring-log | ارسال log file موردنظر هکر از اطلاعات سیستم قربانی به سرور |
down-n-exec | دانلود و اجرای فایلهای اجرایی مورد نظرش از URL مورد نظر |
filemanager | دانلود فایل |
rev-proxy | ایجاد فایل rprox.exe در سیستم، که به صورت کد base64 در فایل js وجود دارد و توسط خود بدافزار رمزگشایی شدهاست. |
exit-proxy | بستن پردازه rprox.exe |
keylogger | ایجاد فایل kl-plugin.exe در سیستم، که به صورت کد base64 در فایل js وجود دارد و توسط خود بدافزار رمزگشایی شدهاست. این فایل وظیفه جمع آوری اطلاعات از سیستم قربانی را برعهده دارد. |
cmd-shell | دستور مشخص در کنسول اجرا شده و خروجی آن برای سرور ارسال میشود. |
get-processes | جمع آوری مشخصات پردازههای در حال اجرا |
disable-uac | مقادیر تابع disableSecurity را در رجیستری قرار میدهد و پیام (UAC+Disabled+Reboot+Required) را به سرور میفرستد. |
check-eligible | اگر فایل موردنظر بدافزار در سیستم وجود داشته باشد، پیام Is+Eligible را ارسال میکند. |
force-eligible | اگر فایل موردنظر بدافزار در سیستم وجود داشته باشد، آن را اجرا و پیام SUCCESS را ارسال میکند. در غیر این صورت، پیام Component+Missing را ارسال میکند. |
elevate | اگر بدافزار به درستی اجرا نشده باشد، دوباره اجرا و پیام Client+Elevated به سرور ارسال میشود. |
if-elevate | اگر بدافزار به درستی اجرا شدهباشد، پیام Client+Elevated و در غیر این صورت پیام Client+Not+Elevated به سرور ارسال میشود. |
kill-process | بستن پردازههای مشخص شده با id |
sleep | اجرای دستور sleep در زمان مشخص شده |
بدافزار به دو روش منتشر میشود:
1. توسط درایوهای قابل حمل
فایلها و فولدرهای داخل فلش را مخفی و به ازای هر کدام یک فایل lnk ایجاد میکند. همچنین فایل js خود را داخل فلش کپی میکند و به ازای آن lnk میسازد.
تارگت فایلهای lnk به صورت زیر میباشد:
C:\Windows\system32\cmd.exe /c start “random name”.js&start explorer “file or folder name”&exit
2. در پیوست ایمیلها خود را کپی و ایمیل را ارسال میکند.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، جلوی آلوده شدن سیستم از طریق درایو قابلحمل را میگیرد. ازاینرو جهت پیشگیری از آلودگی به انواع بدافزارهایی مانند این بدافزار که از طریق درایو قابلحمل انتقال مییابند، پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Boxter آلوده شده است، مراحل زیر را دنبال کنید:
1. پادویش را بر روی سیستم خود نصب کنید.
2. درایو قابل حمل آلوده را به سیستم وصل کنید.
3. با استفاده از پادویش درایو قابلحمل خود را اسکن کنید تا درایو قابلحمل و سیستم آلوده شما پاکسازی شود.