‫‪Worm.Win32.Eqtonex

شرح کلی

نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Eqtonex.a
درجه تخریب: زیاد
میزان شیوع: متوسط
آسیب‌پذیری مورد استفاده: EternalBlue) CVE-2017-0146 / MS17-010)

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون Eqtonex نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Eqtonex چیست؟

بدافزار Eqtonex از نمونه بدافزارهایی است که برای انتشار خود از آسیب‌پذیری‌های مبتنی بر EternalBlue و DoublePulsar استفاده می‌کنند. هدف نهایی این بدافزار استخراج ارز دیجیتال است. در حال حاضر بدافزارهایی که از چنین شیوه آلودگی استفاده می‌کنند رو به افزایش هستند. این بدافزار از نوع ماینر بوده و هدف آن استفاده از پردازنده سیستم قربانی برای استخراج ارز دیجیتالی بیت کوین است.

توضیحات فنی

علائم آلودگی  

1.  وجود یک پردازه با نام تصادفی در سیستم که مقدار زیادی از cpu را به خود اختصاص داده است و باعث کندی سیستم شده است.
2. وجود فایلی به نام boy.exe در مسیر %WindowsDirectory%
3. در مسیر ویندوز، یک پوشه با نام تصادفی که طول آن 5 حرف است، وجود دارد که داخل آن تعدادی dll و یک فایل به نام svchost.exe وجود داشته که بدافزار از آن برای آلوده کردن دیگر سیستم‌های موجود در شبکه استفاده می‌کند (این همان فایل EternalBlue است).
4. اگر کاربر در خط فرمان دستور Netsh ipsec static show all را اجرا کند، یک فیلتر با نام ipsec_ply در بین سیاست‌های ارتباطی خود خواهد دید.

شرح عملکرد

بدافزار بلافاصله پس از اجرا یک نسخه کپی از خودش را در مسیر ویندوز قرار داده و پس از آن یک پوشه با نام تصادفی در مسیر ویندوز ایجاد کرده، یک کپی دیگر از خود را در آن قرار داده و آنرا اجرا می‌کند و سپس یک فایل با نام end.bat را نیز در مسیر ویندوز قرار داده و خود را حذف کرده و ادامه‌ی فعالیت‌ها را به آن نسخه از خود که در پوشه تصادفی در مسیر ویندوز قرار داده بود، واگذار می‌کند.

به طور خلاصه، فعالیت این batch فایل این است که یک فیلتر با نام ipsec_ply ایجاد کرده و پورت­های 445 و 139 سیستم آلوده را که برای انتقال فایل مورد استفاده قرار می‌گیرند می بندد و فقط کسانی که خودش بخواهد توانایی برقراری ارتباط با این سیستم را  دارند. با بررسی های صورت گرفته بر روی فایل ،  این فیلتر‌ها در سیستم عامل XP اعمال نمی‌شوند.

پس از اینکه فیلتر‌های مورد نظر بر روی سیستم قربانی اعمال گردید، فایل end.bat را از سیستم حذف کرده و اقدام به قرار دادن dll های مورد نیاز اکسپلویت Eternalblue و بکدور Doublepulsar در فایل تصادفی که در مسیر ویندوز ایجاد کرده بود، می­‌کند. همچنین با قرار دادن خود در مسیر‌های رجیستری زیر:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell

بقای خود را در سیستم قربانی تضمین کرده تا با هربار اجرای سیستم، فایل بدافزار نیز اجرا شود.

در نهایت یک فایل دیگر نیز با نام تصادفی در همان پوشه تصادفی ذکر شده در بالا قرار می‌دهد که با استفاده از توان پردازشی سیستم قربانی، اقدام به استخراج ارز دیجیتال کرده و باعث کندی سیستم قربانی می‌شود.

روال کار فایل s.bat:

روال کار به این صورت است که این فایل با استفاده از فایل EternalBlue (Svchost.exe) اقدام به پیدا کردن IP های فعال در شبکه و بررسی اینکه آیا آسیب پذیر هستند یا خیر می‌کند و نتیجه‌ی بدست آمده را در یک فایل به نام result.txt که آن نیز در همین پوشه است قرار می‌دهد.

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از آلودگی های احتمالی توسط بدافزارهایی که از آسیب‌پذیری EternalBlue استفاده می‌کنند، پیشنهاد می‌شود از وصله امنیتی ارائه شده توسط مایکروسافت ms17-010 استفاده کنید. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش این گونه آسیب‌پذیری‌ها را شناسایی کرده و از ورود آن به سیستم قربانی جلوگیری می کند .