شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.Emotet
درجه تخریب: زیاد
میزان شیوع: کم
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند، اما هنگامیکه اجرا میشوند خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راههای ورود تروجانها میباشند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار Emotet چیست؟
بدافزار Emotet یکی از خانوادههای معروف در زمینه سرقت اطلاعات اعتبارسنجی کاربران میباشد. امروزه با ماژولهای متفاوتی از این بدافزار از جمله سرقت اطلاعات حساب کاربری ذخیره شده در مرورگر، سرقت اطلاعات اعتبارسنجی پست الکترونیکی و … روبرو هستیم. Emotet فایلهای خود را از طریق اسپمهای آلوده در شبکههای مختلف منتشر میکند.
توضیحات فنی
علائم آلودگی به بدافزار Emotet:
نحوه کار این بدافزار به این صورت است که ایمیلهایی حاوی لینکها یا فایلهای پیوست آلوده را ارسال میکند. فایلی که از ایمیلهای آلوده دانلود میشود عموماً فرمت doc یا js دارد. فایلهای doc حاوی ماکروهای آلوده میباشند و با اجرای فایل، توابع ماکرو فراخوانی شده و یک پردازه Powershell، به اجرا در میآید. در ادامه پردازه Powershell به ترتیب به لینکهای زیر متصل میشود تا فایل اجرایی بدافزار را دانلود کند.
• hxxp://eclatpro.com/tleyLN/
• hxxp://teplokratiya.ru/giG1isC/
• hxxp://xn--k1acdflk8dk.xn--p1ai/DAA4WB/
• hxxp://soo.sg/dbs/media/sJUjDl/
• hxxp://rosehill.hu/ooOCqD/
در صورت موفق شدن به دانلود فایل اجرایی، آنرا در مسیر %TEMP% ذخیره کرده و بلافاصله اجرا میکند.
روال عملکرد Emotet به این صورت است که در سه مرحله آلودگی خود را در سیستم اعمال میکند.
- از طریق ایمیل آلوده وارد سیستم میشود.
- فایل اجرایی خود را دانلود میکند.
- با اجرای فایل دانلود شده و اتصال به سرورهای خود، ماژولهای اصلی خود را دانلود میکند.
فایل اجرایی بدافزار بعد از آنکه موفق به ارتباط با سرور مورد نظر شد، اطلاعات پردازههای سیستم را بعلاوه اطلاعات برنامههایی نظیر Microsoft outlook و یا از این دست برنامهها که مربوط به ایمیل قربانیها میشود را برای سرور خود ارسال میکند.
بعد از آنکه مبادله اطلاعات بین سیستم قربانی و سرور انجام شد، سرور اقدام به ارسال ماژول آلوده به سیستم قربانی میکند. این ماژول توسط فایل اجرایی بدافزار به اجرا در میآید.
ماژولهای بدافزار Emotet به چند دسته تقسیم میشوند که عبارتند از:
- سرقت اطلاعات اعتبارسنجی
- انتشار بدافزار از طریق ارسال هرزنامهها
- حملات DDos
- سرقت اطلاعات مربوط بهحساب کاربری اشخاص از مرورگرها
- سرقت اطلاعات اعتبارسنجی از سرویسهای پست الکترونیکی
روش مقابله و پاکسازی سیستم
آنتیویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای ضمیمه ایمیلها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستمعامل و آنتیویروس خود را به روز نگه دارید.