شرح کلی
نوع:تروجان (Trojan)
درجه تخریب: بالا
میزان شیوع: متوسط
اسامی بدافزار
• Padvish) Trojan.Win64.PurpleFox.VMProtect)
• Padvish) Trojan.Win32.PurpleFox.VMProtect)
• Padvish) Trojan.Win32.PurpleFox.sysupdate)
• Padvish) Rootkit.Win32.Vemptik.t)
• Padvish) Trojan.Win32.Vemptik.nd)
• Avira) TR/Dldr.Delf.lzrar)
• Microsoft) Trojan:Win32/Occamy.C88)
روت کیت (Rootkit) چیست؟
روت کیتها بر عملکرد هسته سیستم عامل تاثیر مخرب میگذارند. این تغییرات میتواند باعث مخفی شدن عملکرد اصلی فایلها، پردازهها، سرویسهای داخلی ویندوز و … شود. همچنین، بدافزار ممکن است بدون اطلاع کاربر با اتصال به سرور راهدور خود، اقدام به بهروزرسانی فایلهای خود نماید. از فعالیتهای اصلی روت کیتها میتوان به تغییر MBR سیستم و ساخت درایورهای مخرب یا تغییر در نحوه عملکرد درایورهای سالم اشاره نمود.
بدافزار Vemptik چیست؟
این بدافزار در واقع یک تروجان است که رفتارهای روتکیتی نیز دارد، اجرای این بدافزار سبب میشود که در راهاندازی بعدی سیستم، کدهای بدافزار در قالب پردازههای svchost.exe بر روی سیستم قربانی اجرا شوند. این پردازهها در ارتباط با سرورهای بدافزار، ماژولهای اصلی آن را که شامل ماژول انتشار بدافزار در شبکه داخلی و خارجی و همچنین ماژول استخراج ارز دیجیتال میشوند، دانلود کرده و روی سیستم قربانی اجرا میکند.
توضیحات فنی
علائم آلودگی
• وجود یک IPsec Policy به نام qianye که ارتباطات زیر را بلاک میکند:
srcaddr=any dstaddr=Me dstport=445 protocol=TCP
srcaddr=any dstaddr=Me dstport=135 protocol=TCP
srcaddr=any dstaddr=Me dstport=139 protocol=TCP
srcaddr=any dstaddr=Me dstport=445 protocol=UDP
srcaddr=any dstaddr=Me dstport=135 protocol=UDP
srcaddr=any dstaddr=Me dstport=139 protocol=UDP
srcaddr=Me dstaddr=any dstport=21 protocol=TCP
srcaddr=Me dstaddr=any dstport=2222 protocol=TCP
srcaddr=Me dstaddr=any dstport=3333 protocol=TCP
srcaddr=Me dstaddr=any dstport=4444 protocol=TCP
srcaddr=Me dstaddr=any dstport=6666 protocol=TCP
srcaddr=Me dstaddr=any dstport=7777 protocol=TCP
srcaddr=Me dstaddr=any dstport=8443 protocol=TCP
srcaddr=Me dstaddr=any dstport=8888 protocol=TCP
srcaddr=Me dstaddr=any dstport=9000 protocol=TCP
srcaddr=Me dstaddr=any dstport=9999 protocol=TCP
srcaddr=Me dstaddr=any dstport=14443 protocol=TCP
srcaddr=Me dstaddr=any dstport=14444 protocol=TCP
- وجود یک FsFilter به نام dump_X (X معرف یک رشته است که در نام سایر فایلهای بدافزار نیز استفاده میشود)
- وجود فایلهای زیر در سیستم قربانی (“*” میتواند هر رشتهای باشد و “X” در اسامی زیر به رشته یکسانی اشاره دارد):
• در زمان اجرای فایل اصلی
• C:\Windows\sysupdate.log
• C:\Windows\winupdate64.log (یا C:\Windows\winupdate32.log)
• پس از اولین راه اندازی مجدد سیستم
• C:\Windows\System32\drivers\dump_*.sys
• C:\Windows\System32\MsXApp.dll
• پس از دومین راه اندازی مجدد سیستم
• وجود فایلهای AcLayers.sdb و AcX.sdb در دایرکتوری C:\windows\AppPatch
• وجود فایل Ke*.xsl در دایرکتوری C:\windows\AppPatch
• وجود فایل(هایی) با پسوند “mow”، “mos” یا “moe” در دایرکتوری C:\Windows\AppPatch\Custome
شرح عملکرد
نصب بدافزار
فایل اصلی بدافزار پس از نصب، دو فایل مخرب زیر را روی سیستم قربانی ایجاد میکند:
C:\Windows\sysupdate.log
C:\Windows\winupdate64.log (یا C:\Windows\winupdate32.log)
بدافزار با تنظیم کلید PendingFileRenameOperation، سبب میشود در زمان بوت بعدی سیستم فایل winupdate64.log (یا در سیستمهای ۳۲ بیتی، فایل winupdate32.log) به جای فایل سیستمی sens.dll بارگذاری و اجرا شود.
Key: KLM\System\CurrentControlSet\Control\SESSION MANAGER
Name: PendingFileRenameOperations
Value:
\??\C:\Windows\AppPatch\Acpsens.dll,,
\??\C:\Windows\system32\sens.dll,??\C:\Windows\AppPatch\Acpsens.dll,
\??\C:\Windows\system32\sens.dll,,
??\C:\Windows\winupdate64.log,\??\C:\Windows\system32\sens.dll,
\??\C:\Windows\AppPatch\Ke583427.xsl,,
\??\C:\Windows\sysupdate.log,\??\C:\Windows\AppPatch\Ke583427.xsl
سپس ارتباطات زیر را در سیستم قربانی مسدود میکند تا از پویش این پورتها توسط برنامهها یا بدافزارهای دیگر جلوگیری کند.
srcaddr=any dstaddr=Me dstport=445 protocol=TCP
srcaddr=any dstaddr=Me dstport=135 protocol=TCP
srcaddr=any dstaddr=Me dstport=139 protocol=TCP
srcaddr=any dstaddr=Me dstport=445 protocol=UDP
srcaddr=any dstaddr=Me dstport=135 protocol=UDP
srcaddr=any dstaddr=Me dstport=139 protocol=UDP
srcaddr=Me dstaddr=any dstport=21 protocol=TCP
srcaddr=Me dstaddr=any dstport=2222 protocol=TCP
srcaddr=Me dstaddr=any dstport=3333 protocol=TCP
srcaddr=Me dstaddr=any dstport=4444 protocol=TCP
srcaddr=Me dstaddr=any dstport=6666 protocol=TCP
srcaddr=Me dstaddr=any dstport=7777 protocol=TCP
srcaddr=Me dstaddr=any dstport=8443 protocol=TCP
srcaddr=Me dstaddr=any dstport=8888 protocol=TCP
srcaddr=Me dstaddr=any dstport=9000 protocol=TCP
srcaddr=Me dstaddr=any dstport=9999 protocol=TCP
srcaddr=Me dstaddr=any dstport=14443 protocol=TCP
srcaddr=Me dstaddr=any dstport=14444 protocol=TCP
راهاندازی سرویس و درایور بدافزار
پردازه متناظر با فایل winupdate32.log، درایور بدافزار را (که معمولاً الگوی نام آن شبیه به “dump_X”است که X در اینجا رشتهای متغیر است) ایجاد و آن را بارگذاری میکند.
این بدافزار در اولین اجرای خود به منظور محافظت از مجموعهای از فایلها و دایرکتوریهای بدافزار، یک FileSystem Filter (FsFilter) روی سیستم قربانی ثبت کرده و با استفاده از آن، فایلها و دایرکتوریهای مرتبط به خود را پنهان میکند. همچنین، با ثبت یک RegistryCallback ، از کلیدهای رجیستری بدافزار محافظت کرده و مانع از انجام عملیات کاربر بر روی آنها میشود.
همچنین، اجرای فایل winupdate64.log سبب ایجاد یک فایل کتابخانهای با الگوی نام MsXApp.dll در مسیر “C:\Windows\System32” میشود. (X، شماره سریال درایو سیستم عامل میباشد). بدافزار متناظر با این فایل، یک سرویس در سیستم قربانی ثبت میکند و آن را به لیست سرویسهای زیرمجموعه “netsvcs” که در قالب پردازه svchost.exe اجرا میشود، اضافه میکند. نام این سرویس یکی از نامهای “MsXApp” ، “MsXAppA”، “MsXAppB” ، “MsXAppC” یا “MsXAppBak” است.
دانلود ماژولهای بدافزار
سرویس MsXApp، در هر مرتبه راه اندازی سیستم، دو پردازه ایجاد میکند و به هر یک از آنها، یک dll مجزا را تزریق میکند. یکی از این پردازهها، مسئولیت دانلود ماژولهای بدافزار را برعهده دارد و دیگری، ماژولهای دانلود شده را رمزگشایی کرده و آنها را اجرا میکند.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. توصیه میشود که کاربران سیستم عامل خود را بهروزرسانی و به ویژه وصلههای امنیتی ارائه شده توسط شرکت مایکروسافت را نصب کنند.