Backdoor.Win32.Tofsee

شرح کلی

نوع: تروجان (درب پشتی)
درجه تخریب: زیاد
میزان شیوع: متوسط

اسامی بدافزار

  • (Padvish) Backdoor.Win32.Tofsee
  • A Variant Of Win32/Tofsee.AJ (ESET)
  • Backdoor:Win32/Hostil.gen!A (Microsoft)
  • HEUR:Trojan.Win32.Generic (Kaspersky)

بدافزار درب پشتی (Backdoor) چیست؟

بدافزارهای درب پشتی برنامه‌هایی هستند که امکان دور زدن مکانیزم‌های امنیتی یک سیستم را به هکرها داده و منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگران قرار می‌دهند. هکرها می‌توانند با استفاده از این روش، بدون نیاز به اعتبارسنجی وارد سیستم مورد نظر شده و از تغییر نام کاربری و رمز عبور نگرانی نداشته باشند. بدافزارهای درب پشتی اشکال مختلفی دارند که هکرها بنابر اهداف خود از نفوذ به منابع یک سیستم، از آنها استفاده می‌کنند.

بدافزار Tofsee چیست؟

از این بدافزار برای فرستادن ایمیل اسپم به واسطه پیغام‌های SMTP استفاده می‌شود. محتوای این ایمیل‌ها توسط سرور بدافزار قابل تعیین است و معمولا برای فرستادن اسپم تبلیغاتی استفاده می‌شود. از دیگر قابلیت‌های مهم این بدافزار می‌توان به دانلود فایل اجرایی توسط سرور و اجرای آن اشاره کرد. این نسخه از این بدافزار توسط چند crypter مختلف پک شده‌ است. در نهایت بدافزار اصلی در یک پردازه‌ svchost.exe تزریق می‌شود.

توضیحات فنی

علائم آلودگی

❌ تغییر کلید HKU\*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell که معمولا به صورت پیش‌فرض برابر با explorer.exe است و اضافه شدن مسیر بدافزار آن‌پک شده به انتهای آن

❌ ساخته شدن کلیدی در مسیر SOFTWARE\Microsoft\DeviceControl\DevData در HKLM یا HKU با محتوای رمز شده

❌ وجود یکی از فایل‌های زیر :

%WINDIR%\Temp:temp

UserProfile%\Application Data\desktop.ini:init%

❌ همچنین در صورتی که بدافزار نتواند فایل‌های بالا را بسازد، یک فایل در این مسیر می‌سازد:

UserProfile%\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.tmp%

شرح عملکرد

بدافزار شامل دو ماژول اصلی است. هدف ماژول اول، یافتن آدرس Mail Server دامنه‌های زیر است:

پیدا کردن آدرس Mail Server دامنه‌های زیر

هدف ماژول دیگر، برقراری ارتباط C&C و دریافت دستورات و تنظیمات لازم از سرور بدافزار از جمله تنظیم کردن لیست ایمیل‌هایی که قرار است به آنها اسپم ارسال شود، محتوای ایمیل و… می‌باشد. همچنین قابلیت ارسال برنامه به سرور قربانی و اجرا کردن آن نیز وجود دارد.

این نسخه از بدافزار برای وصل شدن به سرور C&C از ۴ آدرس استفاده می‌کند:

193[.]27[.]246[.]157
212[.]95[.]32[.]52
Rgtryhbgddtyh[.]biz
wertdghbyrukl[.]ch

در تصویر زیر توابع اصلی بدافزار، قابل مشاهده است:

 توابع اصلی بدافزار Tofsee

روش ارتباط با شبکه

بدافزار ابتدا سعی در یافتن آی‌پی Mail Serverهای Microsoft ، Yahoo و…  را دارد. همچنین در یک thread دیگر با استفاده از پروتکل TCP به سرور C&C خود متصل شده و انتظار دریافت اطلاعات رمز شده را دارد، پس از  دریافت اطلاعات رمز شده آن‌ها را رمزگشایی می‌کند. همچنین ارتباط با آدرس‌های دیگر C&C، در صورتی که برقراری اتصال با آدرس اول با موفقیت  انجام نشود، پس از ۵ دقیقه صورت می‌گیرد.

روش ارتباط با شبکه

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی و حذف می‌کند. به منظور جلوگیری از آلوده شدن به این بدافزار توصیه می‌شود:

✔️ آنتی‌ویروس خود را همواره به روز نگه دارید.

✔️ فایل‌های خود را از منابع معتبر تهیه کنید.

✔️ از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های پیوست ایمیل‌ها  را توسط آنتی‌ویروس پویش کنید.