Rootkit.Win32.Vemptik

شرح کلی

نوع:تروجان (Trojan)
درجه تخریب: بالا
میزان شیوع: متوسط

اسامی بدافزار

• Padvish) Trojan.Win64.PurpleFox.VMProtect)
• Padvish) Trojan.Win32.PurpleFox.VMProtect)
• Padvish) Trojan.Win32.PurpleFox.sysupdate)
• Padvish) Rootkit.Win32.Vemptik.t)
• Padvish) Trojan.Win32.Vemptik.nd)
• Avira) TR/Dldr.Delf.lzrar)
• Microsoft) Trojan:Win32/Occamy.C88)

روت کیت (Rootkit) چیست؟

روت کیت‌ها بر عملکرد هسته سیستم عامل تاثیر مخرب می‌گذارند. این تغییرات می‌تواند باعث مخفی شدن عملکرد اصلی فایل‌ها، پردازه‌ها، سرویس‌های داخلی ویندوز و … شود. همچنین، بدافزار ممکن است بدون اطلاع کاربر با اتصال به سرور راه‌دور خود، اقدام به به‌روزرسانی فایل‌های خود نماید. از فعالیت‌های اصلی روت کیت‌ها می‌توان به تغییر MBR سیستم و ساخت درایورهای مخرب یا تغییر در نحوه عملکرد درایورهای سالم اشاره نمود.

بدافزار Vemptik چیست؟

این بدافزار در واقع یک تروجان است که رفتارهای روت‌کیتی نیز دارد، اجرای این بدافزار سبب می‌شود که در راه‌اندازی بعدی سیستم، کدهای بدافزار در قالب پردازه‌های svchost.exe بر روی سیستم قربانی اجرا شوند. این پردازه‌ها در ارتباط با سرورهای بدافزار، ماژول‌های اصلی آن را که شامل ماژول انتشار بدافزار در شبکه داخلی و خارجی و همچنین ماژول استخراج ارز دیجیتال می‌شوند، دانلود کرده و روی سیستم قربانی اجرا می‌کند.

توضیحات فنی

علائم آلودگی

• وجود یک IPsec Policy به نام qianye که ارتباطات زیر را بلاک می‌کند:

srcaddr=any dstaddr=Me dstport=445 protocol=TCP
srcaddr=any dstaddr=Me dstport=135 protocol=TCP
srcaddr=any dstaddr=Me dstport=139 protocol=TCP
srcaddr=any dstaddr=Me dstport=445 protocol=UDP
srcaddr=any dstaddr=Me dstport=135 protocol=UDP
srcaddr=any dstaddr=Me dstport=139 protocol=UDP
srcaddr=Me dstaddr=any dstport=21 protocol=TCP
srcaddr=Me dstaddr=any dstport=2222 protocol=TCP
srcaddr=Me dstaddr=any dstport=3333 protocol=TCP
srcaddr=Me dstaddr=any dstport=4444 protocol=TCP
srcaddr=Me dstaddr=any dstport=6666 protocol=TCP
srcaddr=Me dstaddr=any dstport=7777 protocol=TCP
srcaddr=Me dstaddr=any dstport=8443 protocol=TCP
srcaddr=Me dstaddr=any dstport=8888 protocol=TCP
srcaddr=Me dstaddr=any dstport=9000 protocol=TCP
srcaddr=Me dstaddr=any dstport=9999 protocol=TCP
srcaddr=Me dstaddr=any dstport=14443 protocol=TCP
srcaddr=Me dstaddr=any dstport=14444 protocol=TCP

  • وجود یک FsFilter به نام dump_X (X معرف یک رشته است که در نام سایر فایل‌های بدافزار نیز استفاده می‌شود)
  • وجود فایل‌های زیر در سیستم قربانی (“*” می‌تواند هر رشته‌ای باشد و “X” در اسامی زیر به رشته یکسانی اشاره دارد):
    • در زمان اجرای فایل اصلی

• C:\Windows\sysupdate.log
• C:\Windows\winupdate64.log (یا C:\Windows\winupdate32.log)

• پس از اولین راه اندازی مجدد سیستم

• C:\Windows\System32\drivers\dump_*.sys
• C:\Windows\System32\MsXApp.dll

• پس از دومین راه اندازی مجدد سیستم

• وجود فایل‌های AcLayers.sdb و AcX.sdb در دایرکتوری C:\windows\AppPatch
• وجود فایل Ke*.xsl در دایرکتوری C:\windows\AppPatch
• وجود فایل(هایی) با پسوند “mow”، “mos” یا “moe” در دایرکتوری C:\Windows\AppPatch\Custome

شرح عملکرد

نصب بدافزار

فایل اصلی بدافزار پس از نصب، دو فایل مخرب زیر را روی سیستم قربانی ایجاد می‌کند:

C:\Windows\sysupdate.log
C:\Windows\winupdate64.log (یا C:\Windows\winupdate32.log)

بدافزار با تنظیم کلید PendingFileRenameOperation، سبب می‌شود در زمان بوت بعدی سیستم فایل winupdate64.log (یا در سیستم‌های ۳۲ بیتی، فایل winupdate32.log) به جای فایل سیستمی sens.dll بارگذاری و اجرا شود.

Key: KLM\System\CurrentControlSet\Control\SESSION MANAGER
Name: PendingFileRenameOperations
Value:
\??\C:\Windows\AppPatch\Acpsens.dll,,
\??\C:\Windows\system32\sens.dll,??\C:\Windows\AppPatch\Acpsens.dll,
\??\C:\Windows\system32\sens.dll,,
??\C:\Windows\winupdate64.log,\??\C:\Windows\system32\sens.dll,
\??\C:\Windows\AppPatch\Ke583427.xsl,,
\??\C:\Windows\sysupdate.log,\??\C:\Windows\AppPatch\Ke583427.xsl

سپس ارتباطات زیر را در سیستم قربانی مسدود می‌کند تا از پویش این پورت‌ها توسط برنامه‌ها یا بدافزارهای دیگر جلوگیری کند.

srcaddr=any dstaddr=Me dstport=445 protocol=TCP
srcaddr=any dstaddr=Me dstport=135 protocol=TCP
srcaddr=any dstaddr=Me dstport=139 protocol=TCP
srcaddr=any dstaddr=Me dstport=445 protocol=UDP
srcaddr=any dstaddr=Me dstport=135 protocol=UDP
srcaddr=any dstaddr=Me dstport=139 protocol=UDP
srcaddr=Me dstaddr=any dstport=21 protocol=TCP
srcaddr=Me dstaddr=any dstport=2222 protocol=TCP
srcaddr=Me dstaddr=any dstport=3333 protocol=TCP
srcaddr=Me dstaddr=any dstport=4444 protocol=TCP
srcaddr=Me dstaddr=any dstport=6666 protocol=TCP
srcaddr=Me dstaddr=any dstport=7777 protocol=TCP
srcaddr=Me dstaddr=any dstport=8443 protocol=TCP
srcaddr=Me dstaddr=any dstport=8888 protocol=TCP
srcaddr=Me dstaddr=any dstport=9000 protocol=TCP
srcaddr=Me dstaddr=any dstport=9999 protocol=TCP
srcaddr=Me dstaddr=any dstport=14443 protocol=TCP
srcaddr=Me dstaddr=any dstport=14444 protocol=TCP

راه‌اندازی سرویس و درایور بدافزار

پردازه متناظر با فایل winupdate32.log، درایور بدافزار را (که معمولاً الگوی نام آن شبیه به “dump_X”است که X در اینجا رشته‌ای متغیر است) ایجاد و آن را بارگذاری می‌کند.
این بدافزار در اولین اجرای خود به منظور محافظت از مجموعه‌ای از فایل‌ها و دایرکتوری‌های بدافزار، یک FileSystem Filter (FsFilter) روی سیستم قربانی ثبت کرده و با استفاده از آن، فایل‌ها و دایرکتوری‌های مرتبط به خود را پنهان می‌کند. همچنین، با ثبت یک RegistryCallback ، از کلیدهای رجیستری بدافزار محافظت کرده و مانع از انجام عملیات کاربر بر روی آنها می‌شود.
همچنین، اجرای فایل winupdate64.log سبب ایجاد یک فایل کتابخانه‌ای با الگوی نام MsXApp.dll در مسیر “C:\Windows\System32” می‌شود. (X، شماره سریال درایو سیستم عامل می‌باشد). بدافزار متناظر با این فایل، یک سرویس در سیستم قربانی ثبت می‌کند و آن را به لیست سرویس‌های زیرمجموعه “netsvcs” که در قالب پردازه svchost.exe اجرا می‌شود، اضافه می‌کند. نام این سرویس یکی از نام‌های “MsXApp” ، “MsXAppA”، “MsXAppB” ، “MsXAppC” یا “MsXAppBak” است.

دانلود ماژول‌های بدافزار

سرویس MsXApp، در هر مرتبه راه اندازی سیستم، دو پردازه ایجاد می‌کند و به هر یک از آنها، یک dll مجزا را تزریق می‌کند. یکی از این پردازه‌ها، مسئولیت دانلود ماژول‌های بدافزار را برعهده دارد و دیگری، ماژول‌های دانلود شده را رمزگشایی کرده و آنها را اجرا می‌کند.

 

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. توصیه می‌شود که کاربران سیستم عامل خود را به‌روزرسانی و به ویژه وصله‌های امنیتی ارائه شده توسط شرکت مایکروسافت را نصب کنند.