شرح کلی
نوع: ماینر (Miner)
درجه تخریب: متوسط
میزان شیوع: متوسط
ماینر (Miner) چیست؟
به افراد و نرم افزارهایی که فرآیند ماینینگ را انجام میدهند یا به نوعی ارز دیجیتال را استخراج میکنند، ماینر گفته میشود. بیت کوین (Bitcoin) نوعی واحد ارز دیجیتال است. استخراج بیت کوین نوعی فرایند تأیید اطلاعات است که در دو مرحله هش پیچیده SHA256 صورت میپذیرد. شبکهی بیت کوین به استخراجکنندگان در ازای تلاشی که برای حل معادلات محاسباتی پیچیده میکنند، بیت کوین پاداش میدهد. بدافزارنویسان برای اینکه هزینهای برای حل معادلات محاسباتی پیجیده نداشته باشند، بدافزاری به این منظور مینویسند و سیستمهای قربانیان را به آن آلوده میکنند تا هم از این راه کسب درآمد کنند و هم هزینهای برای این محاسبات پیچیده پرداخت نکنند. حل این محاسبات، CPU سیستم قربانی را درگیر میکند و باعث کندی سیستم میشود.
بدافزار CLRMiner چیست؟
بدافزار CLRMiner از جمله بدافزارهای جدید در زمینه استخراج ارز دیجیتال است. این بدافزار، از پردازه sqlservr.exe نرمافزار Microsoft SQL Server، جهت دانلود و اجرای بدافزارهای ماینری استفاده میکند. آلودگی به این بدافزار به واسطه دسترسی نفوذگر به SQL Server از طریق شبکه و اجرای Query در آن ایجاد میشود.
توضیحات فنی
این بدافزار با ایجاد یک Procedure در SQL Server، سبب اجرای فایل مخرب میشود. در ادامه با اجرای این فایل مخرب، فایلهای ماینر دانلود شده و توسط پردازه sqlservr.exe اجرا میشوند.
علائم آلودگی
• وجود فایلهای data.mdf ،SqlBase.exe ،sqlconn.exe و ver.txt در مسیر زیر:
%programfiles%\Microsoft SQL Server\MSSQL[11].MSSQLSERVER\MSSQL\DATA\SQLBASE
• اجرای پردازه SqlBase.exe و sqlconn.exe تحت پردازه sqlservr.exe
• وجود فایلی با نام SqlServerWorks.CLR در پوشه Assemblies
• وجود یک Function با نام SqlServerWorksRun در پوشه Scalar-Valued Functions
• وجود یک Procedure با نام sp_sql_works در پوشه Stored Procedures
URL استفاده شده توسط بدافزار جهت دانلود فایل SqlBase.exe:
hxxp://dl[.]love-network[.]cc
شرح عملکرد
Procedure ایجاد شده هر دو دقیقه یک بار تابع SqlServerWorksRun را اجرا میکند.
تابع SqlServerWorksRun سبب اجرای تابع Run از فایل SqlServerWorks.CLR موجود در پوشه Assemblies میشود.
در تصویر زیر محتوای فایل ایجاد شده در پوشه Assemblies قابل مشاهده است:
اجرای فایل SqlServerWorks.CLR در نهایت سبب دانلود و اجرای فایل SqlBase.exe میشود. توالی عملیات SqlServerWorks.CLR به شرح زیر است:
• ابتدا پردازههای در حال اجرا بررسی میشود و در صورتی که Taskmgr یا SqlBase در حال اجرا باشند، بدافزار اجرای خود را متوقف میکند. در غیر این صورت، دایرکتوری زیر توسط بدافزار ایجاد میشود:
%programfiles%\Microsoft SQL Server\MSSQL[11].MSSQLSERVER\MSSQL\DATA\SQLBASE
• فایل SqlBase.exe دانلود و اجرا میشود.
• تابع SqlServerWorksRun توسط پردازه sqlcmd.exe اجرا میشود.
روش مقابله و پاکسازی سیستم
بخش جلوگیری از نفوذ آنتیویروس پادویش، از وقوع حملات شبکهای توسط این بدافزار و ارتباط آن با سرور خود جلوگیری میکند. همچنین، فایلهای دانلود شده توسط این بدافزار را شناسایی میکند. ازاینرو، جهت پیشگیری از آلودگی به این بدافزار پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.