شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.BAT.Starter.cov
تهدید کلی: کم
درجه تخریب: متوسط
میزان شیوع: کم
درز اطلاعات: کم
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند، خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راههای ورود تروجانها به سیستم هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار BAT.starter.cov چیست؟
این خانواده بدافزاری همانطور که از نامش مشخص است، با ایجاد یک فایل batch و اجرای آن اعمال مورد نظر خود را انجام میدهد. نسخهای که در اینجا مورد نظر است، نمونهای بوده که با سوء استفاده از شیوع ویروس کرونا خود را به صورت برنامهای کاربردی از طرف سازمان بهداشت جهانی معرفی کرده است که پس از نصب سیستم را آلوده میکند.
توضیحات فنی
علائم آلودگی
بعد از اجرا، بدافزار به کمک خط فرمان (cmd) اقدام به کپی کردن فایلهای خود در مسیر %homedrive%\COVID-19
کرده و سیستم را ریاستارت میکند. سپس علائم زیر ظاهر میشود:
- جایگزین شدن صفحه پیشزمینه ویندوز با زمینه کاملاً مشکی و عدم امکان تغییر آن
- تغییر در شکل مکان نمای ماوس
- مسدود شدن دسترسی به Task Manager
- بالا آمدن پنجره اخطار آلوده شدن سیستم و باز شدن مجدد آن پس از بستن
پوشه ساخته شده حاوی فایلهای بدافزار
در صورتی که سیستم آلوده، خاموش یا ریاستارت شود به علت تخریب رکورد راهانداز اصلی (MBR) امکان استفاده از سیستم فراهم نیست و صرفنظر از سیستم عامل، صفحه زیر در بوت نمایش داده میشود:
شرح عملکرد
۱. فایل اصلی بدافزار: این فایل وظیفه کپی کردن فایلهای ایجاد شده در پوشه COVID-19 و اجرای اسکریپت برنامه را بر عهده دارد و به جز این موارد کار دیگری انجام نمیدهد.
۲. فایل mainWindow.exe: این برنامه تنها نمایش دهنده هشدار مربوط به بدافزار بوده و کار خاصی انجام نمیدهد.
۳. اسکریپت update.vbs: این اسکریپت دو دقیقه پس از اجرا، پیغام مورد نظر خود را نمایش میدهد:
۴. فایل Run.exe: این فایل اجرایی از نظر رفتار (و نه ساخت) نسبتاً مشابه نصاب بدافزار بوده و اسکریپتی در خود دارد که با اجرای آن بقای بدافزار را تضمین میکند.
همانطور که در اسکریپت بالا مشاهده میشود، کلیدهای رجیستری مربوط به تضمین اجرای بدافزار مجددا تنظیم شده و اجرای برنامه mainwindow در حلقه بیپایان صورت میگیرد.
۵. فایل end.exe: بخش خرابکار بدافزار این فایل اجرایی میباشد که پس از اخذ مجوز لازم، بلوک اول دیسک که MBR در آن قرار دارد خوانده شده و با مقدار مورد نظر بدافزار چک میشود. در صورتی که سیستم قبلاً آلوده نشده باشد، سکتور اول دیسک با کد موجود در بدافزار جایگزین شده و MBR به سکتور بعدی منتقل میشود. همچنین، پیام نمایش داده شده هنگام بوت در سکتور سوم نوشته میشود.
روش مقابله و پاکسازی سیستم
آنتیویروس پادویش این بدافزار را شناسایی و از سیستم حذف میکند. جهت پیشگیری از ورود این دست بدافزارها به سیستم، پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای ضمیمه ایمیلها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستم عامل و آنتیویروس خود را بهروز نگه دارید.