Adware.Win32.WizzMonetize

شرح کلی

نوع: تبلیغ افزار (Adware)
اسامی بدافزار:
Adware.Win32.WizzMonetize.ap
درجه تخریب: زیاد
میزان شیوع: زیاد

تبلیغ افزار (Adware) چیست؟

تبلیغ افزارها بدافزارهای تبلیغاتی هستند که موجب ‫نمایش تبلیغات یا ظاهر شدن بنرهای ‫متعددی در سیستم شده و شما را ‫تشویق به خرید محصولات یا استفاده ‫از سرویس‌های خود می‌کنند. این نوع ‫از بدافزارها معمولاً ناخواسته و بدون‫اطلاع کاربر وارد سیستم می‌شوند.

بدافزار WizzMonetizeچیست؟

تبلیغ افزار Wizzmonetize با باز کردن تب‌های جدید مرورگر سیستم قربانی، برای کاربر ایجاد مزاحمت می­‌کند، این کار به صورت مداوم و هر چند دقیقه یکبار در سیستم اتفاق می‌افتد و عملا امکان کار با سیستم را مختل می‌­کند. بدافزار Wizzmonetize محیطی را برای دانلود و اجرای سایر بدافزار‌ها ایجاد می‌کند. در نسخه کنونی، این بدافزار تا جایی که سیستم قربانی ظرفیت داشته باشد، تبلیغ افزارها و تروجان­‌هایی با هدف جاسوسی را بر روی آن دانلود و اجرا می‌­کند. علاوه بر این که هر کدام از بدافزارهای دانلودی عملیات مخرب خود را انجام می‌دهند، حجم زیادی از حافظه نیز اشغال می‌گردد و در نتیجه باعث کند شدن سیستم می‌­گردد.

توضیحات فنی

علائم آلودگی به بدافزار WizzMonetize:

  1.    باز شدن ناگهانی مرورگرهای سیستم و متعاقب آن باز شدن تب­‌های پشت سر هم با آدرس­‌های متفاوت یکی از علائم آلوده شدن به این بدافزار می‌باشد.
  2.    وجود چندین پردازه در لیست پردازه‌های جاری سیستم که همگی دارای اسامی نامفهوم باشند و زیرمجموعه آنها مرورگرهای سیستم باز شده باشند.
  3.  وجود یکی از کلید رجیستری­‌های زیر در سیستم.

    @”HKEY_CURRENT_USER\SOFTWARE\Microsoft\wewewe\”

    @”HKEY_CURRENT_USER\SOFTWARE\Microsoft\ewMon\”

    @”HKEY_CURRENT_USER\SOFTWARE\Microsoft\BigTime\”

  4. وجود پوشه‌­های زیاد در مسیرهای ProgramFiles و ProgramData با اسامی تصادفی و نامفهوم که داخل آنها فایل­‌های exe و فایل­‌هایی از نوع config (عموما با نام cast.config) وجود داشته باشد.

 

اطلاعات فایل‌­هایی که در سیستم قربانی دیده شده است:

79OMZJEX97ZB.exe 336c3a2bcecc642ca7451246be68b757 52 KB Adware.Win32.WizzMonetize.ap دانلودر بدافزار
SecondL.exe b52bbd6acd78b6f0c574c6e23497512b 7 KB Adware.Win32.WizzMonetize.ap دانلودر دوم
OneTwo.exe a8184ae85e3eea785e2fb19b861c2c49 38 KB Adware.Win32.WizzMonetize.ap دانلودر سوم
Up.exe A876962ddcc27402f8e15f5ab4864248 2.26 MB Adware.Win32.WizzMonetize.ap فایل بروزرسان بدافزار
AdsShow.exe bed137e13172448a47b267a43daabc5e 534 KB Adware.Win32.FileTour.ap Redirector
wizzcaster_installer_v2.exe e05a4306989258d76fce906d461be67d 38 KB Adware.Win32.WizzMonetize.ap فایل نصب کننده یک نسخه از بدافزار
wizzcaster_uninstaller_v2.exe 392862144023af94141d07d35ab13e73 28 KB Adware.Win32.WizzMonetize.ap فایل uninstaller  بدافزار

 

دانلودر اصلی بدافزار

فایل دانلودر  79OMZJEX97ZB.exe ماژول کوچکی است که تنها شبهه کد base64ی بصورت هاردکد درون خود دارد. با استفاده از یک کلید ثابت این شبهه کد base64 را دیکد کرده و بصورت یک فایل exe مستقل به اجرا در می‌­آورد. عملیات اصلی بدافزار و دانلود فایل توسط این فایل دیکدشده انجام می­‌گیرد.

سه فایل وجود دارد که فایل دانلودر  79OMZJEX97ZB.exe به محض اجرا، آن‌ها را دانلود می‌کند. مقایسه گونه قبلی این بدافزار با گونه جدید نشان می­‌دهد که اسامی سه فایل دانلود شده که در جدول مشخصات فایل‌ها ذکر شد، تا کنون ثابت بوده اما بدافزار توانایی تغییر این فایل‌ها را دارد زیرا این بدافزار XML‌ای از سرور خود دریافت می‌کند که اسامی و لینک‌های دانلود فایل‌ها در آن‌ قرار دارد ولی این سه فایل از نسخه قدیمی تا کنون اسامی و رفتار ثابتی داشته‌اند. این فایل‌ها عبارتند از SecondL.exe، OneTwo.exe و  up.exe .

 

شرح عملیات فایل SecondL.exe

این فایل به محض اجرا فایل AdsShow.exe را دانلود و اجرا می‌­کند. لینک دانلود فایل بصورت هاردکد در SecondL.exe تعبیه شده است. SecondL.exe فایل دانلود شده را با نام تصادفی در سیستم ذخیره می­‌کند.

فایل AdsShow.exe وظیفه باز کردن مرورگر پیش فرض سیستم و redirectکردن مرورگر به سایت‌­های تبلیغاتی و بعضا مخرب را دارد. این کار بصورت بی­ پایان و تا زمانی که حافظه سیستم توانایی داشته باشد ادامه خواهد یافت. بقای این بدافزار در مسیر زیر در پوشه‌ه­ای با نام تصادفی ذخیره می‌­شود. نام فایل نیز بصورت تصادفی انتخاب می­‌شود و با نام Adshow ذخیره نمی‌­شود.

%AppData%\[Random]\[Random].exe

 

فایل OneTwo.exe

ساختاری مشابه فایل 79OMZJEX97ZB.exe دارد. در واقع آنرا با نام wizzcaster_installer_v2.exe می‌­شناسیم.

فایل­های wizzcaster_v2.exe و wizzcaster_uninstaller_v2.exe از طریق این فایل دانلود می­‌شوند. این فایل­‌ها در مسیر ProgramFiles و با نام تصادفی در پوشه‌­های تصادفی ذخیره می­‌شوند. فایل wizzcaster_v2.exe نمونه‌ه­ای از نسخه­‌های مختلف بدافزار است. اینکه wizzcaster_installer_v2.exe کدام نسخه از بدافزار را بر روی سیستم نصب می­‌کند قبلا توسط هکر مشخص می‌شود و لینک آن در محتوای xml قرار می­‌گیرد.

 

فایل up.exe

این فایل updater.exe می­‌باشد. ساختار این فایل نیز مشابه دو فایل قبلی است و کد آشکار آن با دیکد الگوریتم base64 بدست می‌­آید. این فایل همان طور که از نام آن پیداست وظیفه update نسخه­‌های قبلی بدافزار را بر روی سیستم برعهده دارد.

توجه کنید که نسخه‌های مختلف بدافزار لینک­‌های دانلود متفاوتی از سوی سرور دریافت می­‌کنند. این امر باعث تفاوت در نوع تبلیغ افزارها نیز می­‌شود.

روش مقابله و پاک‌سازی سیستم

این بدافزار توسط آنتی ویروس پادویش شناسایی می­‌شود و برای این بدافزار پاکسازی انجام می­‌شود. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود ترجیحا وارد سایت­ هایی که از قبل نسبت به صحت آن­ها اطمینان ندارید نشوید. همچنین سعی کنید قبل از اجرای فایل­‌هایی که بطور ناخواسته وارد سیستم شما شده‌­اند آن­ها را توسط یک آنتی­ ویروس مطمئن پویش نمایید.