NetWorm.Win32.Vools

شرح کلی

نوع: کرم (Worm)
اسامی بدافزار:
NetWorm.Win32.Vools
NetWorm.Win64.Vools
درجه تخریب: زیاد
میزان شیوع: زیاد
آسیب‌پذیری مورد استفاده: EternalBlue) CVE-2017-0146 / MS17-010)

کرم (worm) چیست؟

کرم‌های کامپیوتری نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به ‌صورت خودکار دارند. کرم‌‌ها برای بقا روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه صورت می‌گیرد.

بدافزار Vools چیست؟

کرم Vools از نمونه بدافزارهایی است که برای انتشار خود از آسیب‌پذیری‌های مبتنی بر EternalBlue و DoublePulsar استفاده می‌کنند. هدف نهایی این بدافزار استخراج ارز مجازی است. در حال حاضر بدافزارهایی که از چنین شیوه آلودگی استفاده می‌کنند رو به افزایش هستند. این بدافزار از نوع ماینر بوده و هدف آن استفاده از پردازنده سیستم قربانی برای استخراج ارز دیجیتالی بیت‌کوین است.

توضیحات فنی

علائم آلودگی به بدافزار Vools:
از علائم آلودگی به این بدافزار به وجود فایل‌های زیر در سیستم قربانی می‌توان اشاره نمود:

•    “[SystemRoot]\Windows\System32\Wmassrv.dll”
•    “[SystemRoot]\Windows\System32\EnrollCertXaml.dll”

اگر در سیستم خود فایل‌هایی با نام spoolsv.exe و svchost.exe مشاهده کردید که در یکی از دایرکتوری‌های زیر مستقرشده‌اند، متأسفانه شما توسط این بدافزار موردحمله قرارگرفته‌اید.

•    “[SystemRoot]\Windows\IME\Microsoft”
•    “[SystemRoot]\Windows\IME\Crypt”
•    “[SystemRoot]\Windows\IME\Daps”
•    “[SystemRoot]\Windows\SpeechsTracing”
•    “[SystemRoot]\Windows\System32\SysprepThemes”
•    “[SystemRoot]\Windows\System32\SecureBootThemes”

این دو فایل از آسیب‌پذیری‌های سیستم شما استفاده کرده و بدافزار را در سراسر شبکه محلی شما پخش می‌کنند.
فایل svchost.exe آسیب‌پذیری EternalBlue را مورداستفاده قرار می‌دهد تا زمینه انتشار بدافزار را بر روی سایر کلاینت‌ها فراهم نماید. این عمل بدین‌صورت انجام می‌شود که بعد از شناسایی کردن تمامی آی‌پی‌های موجود در شبکه به نصب backdoor در آن سیستم‌ها می‌پردازد.
از سوی دیگر، فایل spoolsv.exe پس از اجرای svchost.exe و فراهم شدن شرایط موردنیاز، مسئولیت پخش فایل‌های بدافزار به کلاینت‌های متصل به سیستم قربانی را بر عهده دارد.
فایل Wmassrv.dll به‌وسیله spoolsv.exe به سیستم قربانی منتقل می‌شود و درون پردازه lsass.exe تزریق می‌شود. در بعضی موارد دیده‌شده به دلیل رخ دادن Buffer OverFlow پردازه lsass.exe بسته می‌شود. به دلیل اینکه این پردازه جزء پردازه‌های Critical است، با بسته شدن آن سیستم‌عامل Critical error می‌دهد و سیستم را Restart می‌کند.
درصورتی‌که این Critical error رخ ندهد برنامه روال عادی خود را طی می‌کند که شامل موارد زیر است:
برای فایل Wmassrv.dll در سیستم قربانی یک سرویس و TaskScheduler ساخته می‌شود. این TaskScheduler با استفاده از فایل rundll32.exe ویندوز، Wmassrv.dll را اجرا می‌کند.
اقدام به دانلود فایل‌های Bitcoin می‌کند. اسامی و مسیر فایل‌های bitcoin که ممکن است توسط بدافزار دانلود شوند و در سیستم قربانی به اجرا درآیند به شرح زیر است:

•    “[SystemRoot]\Windows\System32\TasksHostServices.exe”
•    “[SystemRoot]\Windows\System32\SmssServices.exe”

روش مقابله و پاک‌سازی سیستم

جهت پیشگیری از آلودگی‌های احتمالی توسط بدافزارهایی که از آسیب‌پذیری EternalBlue استفاده می‌کنند،‌ پیشنهاد می‌شود از وصله امنیتی ارائه‌شده توسط مایکروسافت ms17-010 استفاده کنید.

بخش جلوگیری از نفوذ (IPS) آنتی‌ویروس پادویش این‌گونه آسیب پذیری‌ها را شناسایی کرده و از ورود آن به سیستم قربانی جلوگیری می‌کند. همچنین پادویش، این بدافزار را شناسایی و پاک‌سازی می‌کند.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>