Adware.Win32.Oxypumper

شرح کلی

نوع: تبلیغ افزار (Adware)
اسامی بدافزار:
Adware.Win32.Oxypumer
درجه تخریب: زیاد
میزان شیوع: متوسط

تبلیغ افزار (Adware) چیست؟

تبلیغ افزارها بدافزارهای تبلیغاتی هستند که موجب ‫نمایش تبلیغات یا ظاهر شدن بنرهای ‫متعددی در سیستم شده و شما را ‫تشویق به خرید محصولات یا استفاده ‫از سرویس‌های خود می‌کنند. این نوع ‫از بدافزارها معمولاً ناخواسته و بدون‫اطلاع کاربر وارد سیستم می‌شوند.

بدافزار Oxypumper چیست؟

بدافزار Oxypumper در ظاهر با هدف انجام تبلیغات بر روی سیستم قربانی ایجاد می­‌شود. اما در واقع با دانلود فایل‌های دیگر علاوه بر کار تبلیغات، با از کار انداختن مکانیزم‌های امنیتی سیستم باعث آسیب رسانی به سیستم قربانی می‌شود. در ابتدا بدافزار فایل‌های کمکی را از آدرس‌های مشخصی دانلود می‌کند که این فایل‌های دانلود شده به صورت پردازه‌های جدید که در واقع فرزند بدافزار اصلی هستند، نمایان می‌شوند و هرکدام مسئولیت انجام کاری را برعهده دارند. در نهایت با کمک همه فایل‌ها، مرورگر Opera را دانلود کرده و بر روی سیستم قربانی نصب می‌کند تا کار تبلیغاتی را از طریق مرورگر ذکرشده با باز کردن تب‌های متعدد انجام دهد.

توضیحات فنی

علائم آلودگی به بدافزار Oxypumper :

از علائم بارز این بدافزار که کاملا مشهود است می‌توان به نصب مرورگر opera و facebook اشاره کرد. پس از نصب، بدافزار اقدام به باز کردن تب‌های مرورگر opera و نمایش یک سری آدرس‌ها و تبلیغ آنها می‌کند.

از دیگر علائم آلودگی این بدافزار‌ها می‌توان به موارد زیر اشاره کرد:

  • ایجاد فایل‌های زیر در مسیر Temp سیستم عامل ویندوز :

Playerp2.0.exe

4AEB.tmp

wyfdggk.exe

fish.exe

OperaSetup.exe

WCInstaller.exe

F.tmp

Webcompanioninstaller.exe

 

  • تنظیم کردن startup برای فایل‌های browser_assistant.exe و Webcompanioninstaller.exe

HKCU\software\microsoft\windows\currntVersion\Run

  • از کار افتادن ابزارهای AntiSpyware

Microsoft\windowsDefender\Disable AntiSpyware

 

شرح عملکرد

فایلی که وظیفه دانلود ابزارهای تبلیغاتی را بر روی سیستم بر عهده دارد، فایل fish.exe است. این فایل تمام کارهای تبلیغات را توسط مرورگر opera انجام می‌دهد.

بدافزار ابتدا از از آدرس : install.portmdfmoon[.]com/download/APSFADexNR فایل eagle.exe را دانلود کرده و سپس در فایل ایجاد شده به نام fish.exe کپی می‌شود به این معنا که فایل eagle.exe با نام fish.exe در سیستم قربانی ذخیره شده و به عنوان یک پردازه اجرا می‌شود. از آن به بعد این فایل علاوه بر کار تبلیغات با فراخوانی فایل‌های دیگر مثل netsh فعالیت‌های دیگری مثل network command shell انجام می‌دهد.

netsh http add urlacl url=http://+:9007/ user=EveryOne

این دستور به این معناست که قابلیت ارسال و دریافت درخواست‌های http از طریق پورت 9007 فعال شود.

همچنین بدافزار یک فایل تحت عنوان webcompanion.exe را دانلود می‌کند. این فایل یک ماژول تبلیغاتی است که بدون اطلاع کاربر اجرا می‌شود و کار تبلیغات در سایت‌ها که شامل نمایش بنر‌ها و عکس‌های تبلیغاتی و غیره است را انجام می‌دهد.

این بدافزار به طور خلاصه تلاش می‌کند تا از یک سری آدرس‌های از پیش تعیین شده فایل‌های مورد نظر خود را دانلود و در مسیر خاصی از سیستم قرار دهد. این آدرس‌ها عبارتند از:

Install[.]portmdfmoon[.]com/download/APSFADeXNR

Osdsoft[.]tk/20190118/multishare[.]exe

Filesharing247[.]pw/nmgewiakjaoq[.]exe

https://linkury[.]s3-eu-west-2[.]amazonaws[.]com/safefinder[.]exe

citygame[.]xyz/app[.]exe

سپس با از کار انداختن مکانیزم‌های امنیتی سیستم مانند پارامتر‌های مختلف windows defender و همچنین در صورت وجود گروهی از آنتی ویروس‌ها بسته به اینکه چه آنتی ویروسی است، بستری را برای دانلود و اجرای بدافزارهای دیگر فراهم می‌کند. لیست آنتی ویروس‌ها به شرح زیر است :

-KaperskyLab

-Avira

-G Data

-sophos

-mcAfee

-ArcaBit

-BitDefender

-TrendMicro

-K7 computing

-MicroWorld

-IKARUS

-jiangmin

-Fortinet

-AVAST software

-ESET

-Doctor Web

-AVG

-Microsoft

-Ahnlab

-Comodo

-F-Secure

-ClamWin

-Lavasoft

-Agnitum

-solo-Antivirus

-symantec

-filseclab

-VIPRE

-TGSoft

-Virit

-Zillya

-Panda Security

-Nano Antivirus

-Quick heal

-Total Defense

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستم‌عامل و آنتی‌ویروس خود را به روز نگه دارید.