Trojan.BAT.Starter.cov

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.BAT.Starter.cov
تهدید کلی: کم
درجه تخریب: متوسط
میزان شیوع: کم
درز اطلاعات: کم

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راه‌های ورود تروجان‌ها به سیستم هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار BAT.starter.cov چیست؟

این خانواده بدافزاری همان‌طور که از نامش مشخص است، با ایجاد یک فایل batch و اجرای آن اعمال مورد نظر خود را انجام می‌دهد. نسخه‌ای که در اینجا مورد نظر است، نمونه‌ای بوده که با سوء استفاده از شیوع ویروس کرونا خود را به ‌صورت برنامه‌ای کاربردی از طرف سازمان بهداشت جهانی معرفی کرده است که پس از نصب سیستم را آلوده می‌کند.

توضیحات فنی

علائم آلودگی 

بعد از اجرا، بدافزار به کمک خط فرمان (cmd) اقدام به کپی کردن فایل‌های خود در مسیر %homedrive%\COVID-19 کرده و سیستم را ری‌استارت می‌کند. سپس علائم زیر ظاهر می‌شود:

  • جایگزین شدن صفحه پیش‌زمینه ویندوز با زمینه کاملاً مشکی و عدم امکان تغییر آن
  • تغییر در شکل مکان نمای ماوس
  • مسدود شدن دسترسی به Task Manager
  • بالا آمدن پنجره اخطار آلوده شدن سیستم و باز شدن مجدد آن پس از بستن

 

پوشه ساخته‌ شده حاوی فایل­‌های بدافزار

 

در صورتی‌ که سیستم آلوده، خاموش یا ری‌استارت شود به علت تخریب رکورد راه‌­انداز اصلی (MBR) امکان استفاده از سیستم فراهم نیست و صرف‌نظر از سیستم ­عامل، صفحه زیر در بوت نمایش داده می‌شود:

 

 

شرح عملکرد

۱. فایل اصلی بدافزار: این فایل وظیفه کپی کردن فایل‌های ایجاد ­شده در پوشه COVID-19 و اجرای اسکریپت برنامه را بر عهده دارد و به ‌جز این موارد کار دیگری انجام نمی‌­دهد.

۲. فایل mainWindow.exe: این برنامه تنها نمایش دهنده هشدار مربوط به بدافزار بوده و کار خاصی انجام نمی‌دهد.

 

 

۳. اسکریپت update.vbs: این اسکریپت دو دقیقه پس از اجرا، پیغام مورد نظر خود را نمایش می‌دهد:

 

 

۴. فایل Run.exe: این فایل اجرایی از نظر رفتار (و نه ساخت) نسبتاً مشابه نصاب بدافزار بوده و اسکریپتی در خود دارد که با اجرای آن بقای بدافزار را تضمین می‌کند.

 

 

همان­طور که در اسکریپت بالا مشاهده می‌­شود، کلیدهای رجیستری مربوط به تضمین اجرای بدافزار مجددا تنظیم شده و اجرای برنامه mainwindow در حلقه بی‌پایان صورت می­‌گیرد.

۵. فایل end.exe: بخش خرابکار بدافزار این فایل اجرایی می‌باشد که پس از اخذ مجوز لازم، بلوک اول دیسک که MBR در آن قرار دارد خوانده ‌شده و با مقدار مورد نظر بدافزار چک می­‌شود. در صورتی‌ که سیستم قبلاً آلوده نشده باشد، سکتور اول دیسک با کد موجود در بدافزار جایگزین شده و MBR به سکتور بعدی منتقل می­‌شود. همچنین، پیام نمایش داده‌ شده هنگام بوت در سکتور سوم نوشته می­‌شود.

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم، پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستم‌ عامل و آنتی‌ویروس خود را به‌روز نگه دارید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>