Worm.Win32.Boxter | بانک اطلاعات تهدیدات بدافزاری پادویش

شرح کلی

نوع: کرم (Worm)
اسامی بدافزار:
Worm.JS.Boxter.n
Worm.Win32.Boxter.lnk
درجه تخریب: بالا
میزان شیوع: متوسط

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون Boxter نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Boxter چیست؟

این بدافزار در قالب سرویس و دستوراتی که از سوی هکر دریافت می‌کند به صورت command & control، کنترل سیستم قربانی را از راه دور بدست می‌گیرد و همچنین به ذخیره اطلاعات سیستم و سرقت اطلاعات مرورگر پرداخته و اطلاعات ذخیره شده را به هکر ارسال می‌کند.
در اولین اجرا، نسخه‌هایی از فایل js خود را در مکان‌های مختلف سیستم ایجاد و برای بقای خود کلید رجیستری‌هایی را ایجاد می‌کند.
این کرم از طریق ایمیل و درایوهای قابل حمل با ایجاد فایل lnk منتشر می‌شود. همچنین قابلیت غیر فعال کردن سرویس‌های امنیتی مانند UAC را در سیستم قربانی دارد.
این بدافزار دارای ماژول Keylogger می‌باشد که کلید‌های فشرده شده توسط صفحه کلید را ذخیره می‌کند، همچنین سعی می‌کند به آدرس‌هایی با پورت مشخص جهت دانلود متصل شود.
علاوه‌ بر‌ این، بدافزار قابلیت نصب، به‌روزرسانی و حذف کردن خود را دارد.

توضیحات فنی

علائم آلودگی

وجود فایل js با نام تصادفی در مسیر %appdata%
پنهان شدن ناگهانی فایل‌های داخل usb یا سایر درایوهای قابل حمل در هنگام اتصال به سیستم
وجود فایل‌های lnk ناشناس در usb
خاموش شدن یا ریستارت ناگهانی سیستم

شرح عملکرد

بدافزار در قالب یک فایل lnk منتشر می‌شود. با اجرای این lnk فایل پاورشلی دانلود و اجرا می‌شود که یک فایل js شامل کد base64 ایجاد می‌کند. این فایل عملیات اصلی بدافزار را انجام می‌دهد.

این بدافزار فایل js خود را در مسیرهای زیر با نام تصادفی کپی می‌کند:

root]:\Users\Public\”random name”.jpg]

root]:\Users\Public\”random name”.js]

root]:\Users\user\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\”randomn ame”.js]

root]:\Users\user\AppData\Roaming\”random name”.js]

بدافزار همچنین در کلید رجیستری run در مسیر زیر برای خود بقا ایجاد می‌کند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”random name”

مقادیر زیر تحت تابع disableSecurity در رجیستری قرار داده می‌شوند:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,enableLUA , 0

این قابلیت، دو ویژگی AAM و UAC رافعال می‌کند که با ست کردن مقدار 0 توسط این بدافزار غیرفعال می‌شوند (UAC یک ویژگی امنیتی ویندوز است که به جلوگیری ازتغییرات غیرمجاز درسیستم عامل کمک می‌کند.)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,ConsentPromptBehaviorAdmin, 0

(این گزینه به Admin اجازه می‌دهد عملیاتی را بدون رضایت یا اعتبارسنجی انجام دهد.)

در جدول زیر لیست دستورات C&C سرویس بدافزار همراه با عملکرد آنها را مشاهده می‌کنید:

فرمان	عملکرد
disconnect	پردازه اصلی بدافزار بسته می‌شود.
reboot	راه‌اندازی مجدد سیستم
shutdown	خاموش کردن سیستم
execute	اجرای دستور مورد نظر هکر (مثلا اجرای یک فایل اجرایی یا کد خاص)
install-sdk	اگر فایل %temp%\wshrat\python.exe وجود داشته باشد بدافزار پیام “SDK+Already+Installed” را به سرور هکر ارسال می‌کند و در غیر این صورت فایل wshsk.zip را از آدرس hxxp://2813.noip.me:2813/moz-sdk دانلود می‌کند و پیام“SDK+Installed” را به سرور می‌فرستد.
get-pass	پسورد مرورگرهای مورد نظرش را به سرور می‌فرستد.
get-pass-offline	پسورد تمام مرورگرهای نصب شده در سیستم قربانی را به سرور می‌فرستد.
Update	اخرین نسخه فایل js خود را از سرور دانلود می‌کند.
Uninstall	تمام فایل‌ها و مقدارهای ست شده در رجیستری و startup ها حذف و همچنین فایل اجرایی بدافزار بسته می‌شود.
up-n-exec	دانلود و اجرای فایل‌های اجرایی مورد نظرش از سرور
bring-log	ارسال log file موردنظر هکر از اطلاعات سیستم قربانی به سرور
down-n-exec	دانلود و اجرای فایل‌های اجرایی مورد نظرش از URL مورد نظر
filemanager	دانلود فایل
rev-proxy	ایجاد فایل rprox.exe در سیستم، که به صورت کد base64 در فایل js وجود دارد و توسط خود بدافزار رمزگشایی شده‌است.
exit-proxy	بستن پردازه rprox.exe
keylogger	ایجاد فایل kl-plugin.exe در سیستم، که به صورت کد base64 در فایل js وجود دارد و توسط خود بدافزار رمزگشایی شده‌است. این فایل وظیفه جمع آوری اطلاعات از سیستم قربانی را برعهده دارد.
cmd-shell	دستور مشخص در کنسول اجرا شده و خروجی آن برای سرور ارسال می‌شود.
get-processes	جمع آوری مشخصات پردازه‌های در حال اجرا
disable-uac	مقادیر تابع disableSecurity را در رجیستری قرار می‌دهد و پیام (UAC+Disabled+Reboot+Required) را به سرور می‌فرستد.
check-eligible	اگر فایل موردنظر بدافزار در سیستم وجود داشته باشد، پیام Is+Eligible را ارسال می‌کند.
force-eligible	اگر فایل موردنظر بدافزار در سیستم وجود داشته باشد، آن را اجرا و پیام SUCCESS را ارسال می‌کند. در غیر این صورت، پیام Component+Missing را ارسال می‌کند.
elevate	اگر بدافزار به درستی اجرا نشده باشد، دوباره اجرا و پیام Client+Elevated به سرور ارسال می‌شود.
if-elevate	اگر بدافزار به درستی اجرا شده‌باشد، پیام Client+Elevated و در غیر این صورت پیام Client+Not+Elevated به سرور ارسال می‌شود.
kill-process	بستن پردازه‌های مشخص شده با id
sleep	اجرای دستور sleep در زمان مشخص شده

بدافزار به دو روش منتشر می‌شود:

1. توسط درایو‌های قابل حمل

فایل‌ها و فولدرهای داخل فلش را مخفی و به ازای هر کدام یک فایل lnk ایجاد می‌کند. همچنین فایل js خود را داخل فلش کپی می‌کند و به ازای آن lnk می‌سازد.
تارگت فایل‌های lnk به صورت زیر می‌باشد:

C:\Windows\system32\cmd.exe /c start “random name”.js&start explorer “file or folder name”&exit

2. در پیوست ایمیل‌ها خود را کپی و ایمیل را ارسال می‌کند.

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی مانند این بدافزار که از طریق درایو قابل‌حمل انتقال می‌یابند، پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Boxter آلوده شده است، مراحل زیر را دنبال کنید:

1. پادویش را بر روی سیستم خود نصب کنید.

2. درایو قابل ‌حمل آلوده را به سیستم وصل کنید.

3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.