Trojan.Win32.AgentTesla.a

شرح کلی

نوع: تروجان (Trojan)
درجه تخریب: کم
میزان شیوع: زیاد
آسیب‌پذیری مورد استفاده: CVE-2017-11882 و CVE-2017-8570

اسامی بدافزار

  • Padvish) Trojan.Win32.AgentTesla.a)
  • Padvish) Trojan.Win32.AgentTesla.cG)
  • Microsoft) Trojan:MSIL/AgentTesla.AL!MTB)
  • McAfee) AgentTesla-FCYX!72D3FB6A5E15)

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راه‌های ورود تروجان‌ها به سیستم هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Agent Tesla چیست؟

بدافزار Agent Tesla، خانواده‌ای از تروجان‌ها است که عموماً از طریق فایل‌های Office مخرب ضمیمه شده به ایمیل، منتشر می‌شود و عملکرد اصلی آن جمع‌آوری کلیدهای فشرده شده، حرکات ماوس، اطلاعات لاگین نرم‌افزارهای مختلف، داده‌های ذخیره شده در کلیپ بورد، عکس از دسکتاپ قربانی و ارسال این اطلاعات به سرور مورد نظر خود می ‌باشد. در فایل‌های بدافزار Agent Tesla، مجموعه‌ای از متغیرهای مقداردهی شده وجود دارد که بدافزار در زمان اجرا، از آنها برای تعیین اینکه کدام یک از قابلیت‌های بدافزار اجرا شود، استفاده می‌کند.

توضیحات فنی

علائم آلودگی

از علائم آلودگی به این بدافزار، می‌توان به موارد زیر اشاره کرد:

  • وجود تصویری از دسکتاپ در مسیر %AppData%، برای نمونه در مسیر
    C:\Users\*\AppData\Roaming\ScreenShot\ScreenShot.jpg
  • وجود فایل با نامی شبیه به log.tmp که در زمان فشردن کلید یا حرکات ماوس به روزرسانی می‌شود.
  • وجود کلید رجیستری برای اجرای خودکار فایل بدافزار که عمدتاً در مسیر %AppData% وجود دارد.

شرح عملکرد

حذف پردازه‌های مانیتورینگ

بدافزار برای محافظت از خود در برابر نرم‌افزارهای مانیتورینگ، سعی می‌کند آنها را شناسایی کرده و خاتمه ‌دهد. به این منظور، نام پردازه‌های سیستم یا عنوان پنجره‌های موجود را با فهرستی از نرم افزارهایی که برای مانیتور رفتار سایر پردازه‌ها استفاده می‌شوند، مقایسه می‌کند و در صورت تطبیق نام پردازه، آن پردازه را خاتمه می‌دهد. فهرست زیر، از جمله پردازه‌هایی است که بدافزار Agent Tesla، آنها را خاتمه می‌دهد.

Trojan.Win32.AgentTesla.a

جمع آوری اطلاعات

بدافزار Agent Tesla توانایی جمع آوری اطلاعات وسیعی را از سیستم قربانی دارد. موارد زیر به صورت مداوم و هر چند ثانیه یا چند دقیقه جمع آوری و به سرور بدافزار ارسال می‌شوند.

  • عکس‌های گرفته شده از طریق webcam قربانی (در صورت وجود)
  • اسکرین شات‌های ثبت شده از دسکتاپ قربانی
  • داده‌های موجود در کلیپ بورد
  • کلیدهای فشرده شده و حرکات ماوس

بدافزار تلاش می‌کند نام کاربری و پسوردهای ثبت شده نرم‌افزارهای مختلف در سیستم را استخراج و به سرور خود ارسال کند. نرم‌افزارهای زیر از جمله برنامه‌هایی هستند که بدافزار تلاش به سرقت اطلاعات لاگین آنها می‌کند.

Trojan.Win32.AgentTesla.a2

مشخصات سیستم قربانی نیز در بسته‌های ارسالی به سرور درج می‌شود:

  • نام کاربر فعلی
  • نام کامپیوتر
  • نسخه سیستم عامل
  • مشخصات پردازنده
  • میزان حافظه RAM
  • آدرس IP سیستم قربانی

ارتباط بدافزار با سرور

ارتباط بدافزار با سرور با یکی از روش‌های زیر انجام می‌شود:

  • با پروتکل HTTP: بدافزار اطلاعات موردنظر خود را با متد POST و عموما به صورت رمز شده، با الگوریتم Triple DES، به سرور ارسال می‌کند.
  • با پروتکل SMTP: اطلاعات جمع آوری شده ،در قالب یک فایل HTML به آدرس ایمیل درج شده در فایل بدافزار، ارسال می‌شود.
  • با پروتکل FTP: بدافزار اطلاعات سرقت شده را در قالب فایل(هایی) روی سرور FTP خود آپلود می‌کند.
  • کانال تلگرامی: بدافزار اطلاعات گردآوری شده را به کانال تلگرامی که آدرس آن در فایل درج شده، ارسال می‌کند.

سایر قابلیت‌های بدافزار

بدافزار AgentTesla، قابلیت‌های دیگری نیز دارد که براساس متغیرهای پیکربندی موجود در فایل بدافزار، درباره اجرا شدن/نشدن آنها تصمیم‌گیری می‌شود. این قابلیت‌ها عبارتند از:

  • ارتقا سطح دسترسی با استفاده از کلیدهای رجیستری زیر:

"HKCU\software\classes\ms-settings\shell\open\command"
"HKCU\software\classes\mscfile\shell\open\command"

  • غیرفعال کردن برخی از ابزارهای مدیریتی ویندوز شامل cmd.exe ،controlPanel ،Run ،Folder Options ،task manager و regedit.exe
  • انتشار بدافزار به درایوهای Removable و CDRom: یک نسخه از بدافزار روی این درایوها قرار می‌گیرد. بدافزار تمامی فایل‌ها و دایرکتوری‌های موجود را پنهان و متناظر با هر یک از آنها، یک فایل lnk. ایجاد می‌کند که با کلیک بر روی آن، بدافزار اجرا می‌شود.
  • اجرای فایل‌های اجرایی: بدافزار فایل‌های اجرایی موجود در قسمت Resource خود را استخراج و در قالب پردازه جدیدی اجرا می‌کند.
  • دانلود فایل‌های مورد نظر خود، نگهداری آن‌ها در پوشه Temp و همچنین اجرای آن‌ها.

حذف بدافزار از سیستم قربانی

بدافزار به صورت دوره‌ای، دستور”uninstall” را به سرور ارسال می‌کند و در صورت تایید سرور، اقدام به حذف خود می‌کند. به این منظور، کارهای زیر انجام می‌شود:

  • حذف فایل بدافزار از طریق انتقال آن به پوشه Temp
  • حذف کلیدهای رجیستری تنظیم شده برای بدافزار
  • خاتمه دادن به پردازه بدافزار
  • در برخی موارد، سیستم نیز خاموش می‌شود.

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. با توجه به اینکه یکی از راه‌های رایج انتشار این بدافزار ارسال فایل‌های Office مخرب از طریق ایمیل است، پیشنهاد می‌شود که از باز کردن ایمیل‌های مشکوک خودداری شود. همچنین از نرم‌افزار Office به‌روز شده استفاده شود.

  مقاله برای 7 نفر مفید بود.