شرح کلی
نوع: کرم (Worm)
اسامی بدافزار:
NetWorm.Win32.Vools
NetWorm.Win64.Vools
درجه تخریب: زیاد
میزان شیوع: زیاد
آسیبپذیری مورد استفاده: EternalBlue) CVE-2017-0146 / MS17-010)
کرم (worm) چیست؟
کرمهای کامپیوتری نوعی از بدافزار محسوب میشوند که توان تکثیر کردن خود را به صورت خودکار دارند. کرمها برای بقا روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه صورت میگیرد.
بدافزار Vools چیست؟
کرم Vools از نمونه بدافزارهایی است که برای انتشار خود از آسیبپذیریهای مبتنی بر EternalBlue و DoublePulsar استفاده میکنند. هدف نهایی این بدافزار استخراج ارز مجازی است. در حال حاضر بدافزارهایی که از چنین شیوه آلودگی استفاده میکنند رو به افزایش هستند. این بدافزار از نوع ماینر بوده و هدف آن استفاده از پردازنده سیستم قربانی برای استخراج ارز دیجیتالی بیتکوین است.
توضیحات فنی
علائم آلودگی به بدافزار Vools:
از علائم آلودگی به این بدافزار به وجود فایلهای زیر در سیستم قربانی میتوان اشاره نمود:
• “[SystemRoot]\Windows\System32\Wmassrv.dll”
• “[SystemRoot]\Windows\System32\EnrollCertXaml.dll”
اگر در سیستم خود فایلهایی با نام spoolsv.exe و svchost.exe مشاهده کردید که در یکی از دایرکتوریهای زیر مستقرشدهاند، متأسفانه شما توسط این بدافزار موردحمله قرارگرفتهاید.
• “[SystemRoot]\Windows\IME\Microsoft”
• “[SystemRoot]\Windows\IME\Crypt”
• “[SystemRoot]\Windows\IME\Daps”
• “[SystemRoot]\Windows\SpeechsTracing”
• “[SystemRoot]\Windows\System32\SysprepThemes”
• “[SystemRoot]\Windows\System32\SecureBootThemes”
این دو فایل از آسیبپذیریهای سیستم شما استفاده کرده و بدافزار را در سراسر شبکه محلی شما پخش میکنند.
فایل svchost.exe آسیبپذیری EternalBlue را مورداستفاده قرار میدهد تا زمینه انتشار بدافزار را بر روی سایر کلاینتها فراهم نماید. این عمل بدینصورت انجام میشود که بعد از شناسایی کردن تمامی آیپیهای موجود در شبکه به نصب backdoor در آن سیستمها میپردازد.
از سوی دیگر، فایل spoolsv.exe پس از اجرای svchost.exe و فراهم شدن شرایط موردنیاز، مسئولیت پخش فایلهای بدافزار به کلاینتهای متصل به سیستم قربانی را بر عهده دارد.
فایل Wmassrv.dll بهوسیله spoolsv.exe به سیستم قربانی منتقل میشود و درون پردازه lsass.exe تزریق میشود. در بعضی موارد دیدهشده به دلیل رخ دادن Buffer OverFlow پردازه lsass.exe بسته میشود. به دلیل اینکه این پردازه جزء پردازههای Critical است، با بسته شدن آن سیستمعامل Critical error میدهد و سیستم را Restart میکند.
درصورتیکه این Critical error رخ ندهد برنامه روال عادی خود را طی میکند که شامل موارد زیر است:
برای فایل Wmassrv.dll در سیستم قربانی یک سرویس و TaskScheduler ساخته میشود. این TaskScheduler با استفاده از فایل rundll32.exe ویندوز، Wmassrv.dll را اجرا میکند.
اقدام به دانلود فایلهای Bitcoin میکند. اسامی و مسیر فایلهای bitcoin که ممکن است توسط بدافزار دانلود شوند و در سیستم قربانی به اجرا درآیند به شرح زیر است:
• “[SystemRoot]\Windows\System32\TasksHostServices.exe”
• “[SystemRoot]\Windows\System32\SmssServices.exe”
روش مقابله و پاکسازی سیستم
جهت پیشگیری از آلودگیهای احتمالی توسط بدافزارهایی که از آسیبپذیری EternalBlue استفاده میکنند، پیشنهاد میشود از وصله امنیتی ارائهشده توسط مایکروسافت ms17-010 استفاده کنید.
بخش جلوگیری از نفوذ (IPS) آنتیویروس پادویش اینگونه آسیب پذیریها را شناسایی کرده و از ورود آن به سیستم قربانی جلوگیری میکند. همچنین پادویش، این بدافزار را شناسایی و پاکسازی میکند.