شرح کلی
نوع: تبلیغ افزار (Adware)
اسامی بدافزار:
Adware.Win32.Oxypumer
درجه تخریب: زیاد
میزان شیوع: متوسط
تبلیغ افزار (Adware) چیست؟
تبلیغ افزارها بدافزارهای تبلیغاتی هستند که موجب نمایش تبلیغات یا ظاهر شدن بنرهای متعددی در سیستم شده و شما را تشویق به خرید محصولات یا استفاده از سرویسهای خود میکنند. این نوع از بدافزارها معمولاً ناخواسته و بدوناطلاع کاربر وارد سیستم میشوند.
بدافزار Oxypumper چیست؟
بدافزار Oxypumper در ظاهر با هدف انجام تبلیغات بر روی سیستم قربانی ایجاد میشود. اما در واقع با دانلود فایلهای دیگر علاوه بر کار تبلیغات، با از کار انداختن مکانیزمهای امنیتی سیستم باعث آسیب رسانی به سیستم قربانی میشود. در ابتدا بدافزار فایلهای کمکی را از آدرسهای مشخصی دانلود میکند که این فایلهای دانلود شده به صورت پردازههای جدید که در واقع فرزند بدافزار اصلی هستند، نمایان میشوند و هرکدام مسئولیت انجام کاری را برعهده دارند. در نهایت با کمک همه فایلها، مرورگر Opera را دانلود کرده و بر روی سیستم قربانی نصب میکند تا کار تبلیغاتی را از طریق مرورگر ذکرشده با باز کردن تبهای متعدد انجام دهد.
توضیحات فنی
علائم آلودگی
از علائم بارز این بدافزار که کاملا مشهود است میتوان به نصب مرورگر opera و facebook اشاره کرد. پس از نصب، بدافزار اقدام به باز کردن تبهای مرورگر opera و نمایش یک سری آدرسها و تبلیغ آنها میکند.
از دیگر علائم آلودگی این بدافزارها میتوان به موارد زیر اشاره کرد:
- ایجاد فایلهای زیر در مسیر Temp سیستم عامل ویندوز :
Playerp2.0.exe
4AEB.tmp
wyfdggk.exe
fish.exe
OperaSetup.exe
WCInstaller.exe
F.tmp
Webcompanioninstaller.exe
- تنظیم کردن startup برای فایلهای browser_assistant.exe و Webcompanioninstaller.exe
HKCU\software\microsoft\windows\currntVersion\Run
- از کار افتادن ابزارهای AntiSpyware
Microsoft\windowsDefender\Disable AntiSpyware
شرح عملکرد
فایلی که وظیفه دانلود ابزارهای تبلیغاتی را بر روی سیستم بر عهده دارد، فایل fish.exe است. این فایل تمام کارهای تبلیغات را توسط مرورگر opera انجام میدهد.
بدافزار ابتدا از از آدرس : install.portmdfmoon[.]com/download/APSFADexNR فایل eagle.exe را دانلود کرده و سپس در فایل ایجاد شده به نام fish.exe کپی میشود به این معنا که فایل eagle.exe با نام fish.exe در سیستم قربانی ذخیره شده و به عنوان یک پردازه اجرا میشود. از آن به بعد این فایل علاوه بر کار تبلیغات با فراخوانی فایلهای دیگر مثل netsh فعالیتهای دیگری مثل network command shell انجام میدهد.
netsh http add urlacl url=http://+:9007/ user=EveryOne
این دستور به این معناست که قابلیت ارسال و دریافت درخواستهای http از طریق پورت 9007 فعال شود.
همچنین بدافزار یک فایل تحت عنوان webcompanion.exe را دانلود میکند. این فایل یک ماژول تبلیغاتی است که بدون اطلاع کاربر اجرا میشود و کار تبلیغات در سایتها که شامل نمایش بنرها و عکسهای تبلیغاتی و غیره است را انجام میدهد.
این بدافزار به طور خلاصه تلاش میکند تا از یک سری آدرسهای از پیش تعیین شده فایلهای مورد نظر خود را دانلود و در مسیر خاصی از سیستم قرار دهد. این آدرسها عبارتند از:
Install[.]portmdfmoon[.]com/download/APSFADeXNR
Osdsoft[.]tk/20190118/multishare[.]exe
Filesharing247[.]pw/nmgewiakjaoq[.]exe
https://linkury[.]s3-eu-west-2[.]amazonaws[.]com/safefinder[.]exe
citygame[.]xyz/app[.]exe
سپس با از کار انداختن مکانیزمهای امنیتی سیستم مانند پارامترهای مختلف windows defender و همچنین در صورت وجود گروهی از آنتی ویروسها بسته به اینکه چه آنتی ویروسی است، بستری را برای دانلود و اجرای بدافزارهای دیگر فراهم میکند. لیست آنتی ویروسها به شرح زیر است :
-KaperskyLab
-Avira
-G Data
-sophos
-mcAfee
-ArcaBit
-BitDefender
-TrendMicro
-K7 computing
-MicroWorld
-IKARUS
-jiangmin
-Fortinet
-AVAST software
-ESET
-Doctor Web
-AVG
-Microsoft
-Ahnlab
-Comodo
-F-Secure
-ClamWin
-Lavasoft
-Agnitum
-solo-Antivirus
-symantec
-filseclab
-VIPRE
-TGSoft
-Virit
-Zillya
-Panda Security
-Nano Antivirus
-Quick heal
-Total Defense
روش مقابله و پاکسازی سیستم
آنتیویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای ضمیمه ایمیلها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستمعامل و آنتیویروس خود را به روز نگه دارید.