Trojan.Win32.Mylobot

شرح کلی

نوع:تروجان (Trojan)
درجه تخریب: بالا
میزان شیوع: متوسط

اسامی بدافزار

• Padvish) Trojan.Win32.Mylobot.prc)
• Padvish) Trojan.Win32.Mylobot.proc)
• Padvish) Trojan.Win32.Mylobot.af)
• Padvish) Trojan.Win32.Mylobot.a)
• Padvish) Trojan.Win32.Mylobot.h)
• Padvish) Trojan.Win32.Mylobot.ap)
• Padvish) Trojan.Win32.Khalesi.h)
• TrendMicro) TSPY_MYLOBOT.A)
• Kaspersky) HEUR:Trojan.Win32.Khalesi.gen)
• Microsoft) VirTool:Win32/CeeInject.ANO!bit)
• Microsoft) Trojan:Win32/CryptInject)

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راه‌های ورود تروجان‌ها به سیستم هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Mylobot چیست؟

Mylobot، یک تروجان پیچیده و خطرناک است که می‌تواند کنترل ماشین قربانی را به دست بگیرد و با ارتباط با سرورهای خود، دستورات آنها را دریافت و اجرا کند. از جمله اقدامات مشاهده شده، دانلود سایر بدافزارها و اجرای آن روی سیستم قربانی است. این بدافزار با به کار گرفتن تکنیک‌های مختلف، تلاش می‌کند که محیط تحلیل را شناسایی کند و در صورت تشخیص، از اجرای خود صرف نظر می‌کند. همچنین، به روزرسانی سیستم عامل ویندوز و Windows Defender را غیرفعال می‌کند.

توضیحات فنی

علائم آلودگی

• وجود فایل زیر و کلید رجیستری Run برای آن (نام دایرکتوری و نام فایل در عبارت زیر بر اساس آدرس Mac ساخته شده است) :

%AppData%\name_1\name_2.exe

• غیرفعال بودن به روزرسانی ویندوز
• وجود ارتباطات اینترنتی با دامنه‌هایی با الگوی m%d.%s که %d، عدد صحیح بین 42-1 است.

• وجود قوانین Firewall زیر:

rule name="blockport 2900" dir=out action=block protocol=TCP remoteport=2900
rule name="blockport 1100" dir=out action=block protocol=TCP remoteport=1100
rule name="blockport 2200" dir=out action=block protocol=TCP remoteport=2200
rule name="blockport 3300" dir=out action=block protocol=TCP remoteport=3300
rule name="blockport 4400" dir=out action=block protocol=TCP remoteport=4400
rule name="blockport 5500" dir=out action=block protocol=TCP remoteport=5500
rule name="blockport 6600" dir=out action=block protocol=TCP remoteport=6600
rule name="blockport 7700" dir=out action=block protocol=TCP remoteport=7700
rule name="blockport 8800" dir=out action=block protocol=TCP remoteport=8800
rule name="blockport 9900" dir=out action=block protocol=TCP remoteport=9900

شرح عملکرد

این بدافزار در قالب چندین زیرپردازه اجرا می‌شود و در هر پردازه عملکرد تقریبا متفاوتی را اجرا می‌کند:

اجرای تکنیک شناسایی Debugger

درصورتی که برنامه در حالت debug باشد، بدافزار با اجرای تکنیک‌های مختلف debugger را شناسایی کرده و بدین ترتیب ادامه debug برنامه با مشکل مواجه می‌شود.

اجرای روش‌های anti-sanbox و anti-vm

بدافزار با اعمال تکنیک‌هایی تلاش می‌کند تشخیص دهد که محیط فعلی، محیط تحلیل نباشد. در صورتی که با اجرای هر کدام از تکنیک‌ها متوجه شود محیط فعلی، محیط تحلیل است، به اجرای خود خاتمه می‌دهد.

رمزگشایی قسمت rsrc و اجرای آن

بدافزار قسمت rsrc فایل PE در حال اجرا در پردازه را رمزگشایی می‌کند که منجر به یک PE جدید می‌شود. در این مرحله، بدافزار بررسی می‌کند که آیا ماژول در حال اجرا در پردازه فعلی در مسیر %AppData% قرار دارد. در غیر این صورت، نسخه‌ای از بدافزار را در مسیر %AppData% و در فولدری که خود ایجاد کرده، کپی می‌کند. نام فایل و نام فولدر براساس آدرس Mac سیستم قربانی ساخته می‌شود. سپس فایل جدید را اجرا و به پردازه خود خاتمه می‌دهد.
در غیر این صورت، یکی از فایل‌های سیستمی (عموما فایل‌های cmd.exe ،notepad.exe یا conhost.exe) را اجرا و PE به دست آمده را با تزریق به پردازه سیستمی در حالت تعلیق اجرا می‌کند.
پردازه جدید (برای مثال cmd.exe) چندین thread ایجاد می‌کند و در هر یک، عملکردهای متفاوت شرح داده شده در ادامه را دنبال می‌کند. علاوه بر این، فایل notepad.exe را در قالب زیرپردازه ای از خود اجرا می‌کند و کد خود را به آن تزریق می‌کند. همچنین، در صورتی که دسترسی لازم را در اختیار داشته باشد، دستوراتی را به منظور غیرفعال کردن Windows Defender، به روزرسانی سیستم عامل و همچنین مسدود کردن تعدادی از ارتباطات خروجی از سیستم اجرا می‌کند. در غیر این صورت، مجددا این پردازه به عنوان زیرپردازه‌ای از cmd.exe اجرا خواهد شد.

غیرفعال کردن Windows Defender و Windows update و همچنین مسدود کردن مجموعه‌ای از ارتباطات شبکه

بدافزار با اجرای دستور زیر، ابتدا سرویس Windowsupdate را متوقف و سپس تنظیمات به‌روزرسانی ویندوز را غیرفعال می‌کند:

"C:\Windows\System32\cmd.exe" /C sc stop wuauserv
"C:\Windows\System32\cmd.exe" sc config wuauserv start= disabled

همچنین، با تنظیم کلید رجیستری زیر باعث غیرفعال شدن windows defender می‌شود:

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
SubKey: DisableAntiSpyware
Value: 0x1

در نهایت با تنظیم دستورات Firewall زیر، برخی از ارتباطات خروجی از سیستم را مسدود می‌کند:

netsh advfirewall firewall add rule name="blockport 2900" dir=out action=block protocol=TCP remoteport=2900
netsh advfirewall firewall add rule name="blockport 1100" dir=out action=block protocol=TCP remoteport=1100
netsh advfirewall firewall add rule name="blockport 2200" dir=out action=block protocol=TCP remoteport=2200
netsh advfirewall firewall add rule name="blockport 3300" dir=out action=block protocol=TCP remoteport=3300
netsh advfirewall firewall add rule name="blockport 4400" dir=out action=block protocol=TCP remoteport=4400
netsh advfirewall firewall add rule name="blockport 5500" dir=out action=block protocol=TCP remoteport=5500
netsh advfirewall firewall add rule name="blockport 6600" dir=out action=block protocol=TCP remoteport=6600
netsh advfirewall firewall add rule name="blockport 7700" dir=out action=block protocol=TCP remoteport=7700
netsh advfirewall firewall add rule name="blockport 8800" dir=out action=block protocol=TCP remoteport=8800
netsh advfirewall firewall add rule name="blockport 9900" dir=out action=block protocol=TCP remoteport=9900

حذف فایل و فولدر

بدافزار در دایرکتوری‌های زیر به دنبال فایل‌های اجرایی با پسوند exe. می‌گردد و در صورتی که فایلی وجود داشته باشد، با گرفتن لیست پردازه‌‍‌های در حال اجرا روی سیستم، بررسی می‌کند که فایل در حال اجرا باشد. در این صورت، به اجرای پردازه متناظر با فایل خاتمه می‌دهد. سپس یک نسخه از فایل اجرایی یافت شده در دایرکتوری‌های زیر را ایجاد می‌کند و به انتهای نام آن “local.backup.” اضافه کرده و سپس آن را پاک می‌کند.

%AppData%
%AppData%\WindowsAudio
%AppData%\Windows Live
%AppData%\Update
%AppData%\Adobe
%AppData%\WindowsUpdate
%AppData%\Identities
%AppData%\Microsoft
%AppData%\Microsoft\Windows
%AppData%\Microsoft\Windows\Cookies
%AppData%\Microsoft\Windows\DNTException
%AppData%\Microsoft\Windows\DNTException\Low
%AppData%\Microsoft\Windows\IECompatCache
%AppData%\Microsoft\Windows\IECompatCache\Low
%AppData%\Microsoft\Windows\IECompatUACache
%AppData%\Microsoft\Windows\IEDownloadHistory
%AppData%\Microsoft\Windows\Themes
C:\Recycler

همچنین، ابتدا نام دو فولدر زیر را (در صورت وجود) تغییر می‌دهد (به انتهای نام فایل، رشته “.local.backup” اضافه می‌کند) و سپس آنها را حذف می‌کند.

%AppData%\v07
%AppData%\c731200

ایجاد پرسوجوهای DNS به منظور گمراه کردن کاربر

این بدافزار در قالب یک thread، به صورت مکرر دامنه‌هایی را به صورت تصادفی ایجاد و تلاش می‌کند آدرس IP آنها را به دست آورد. فعال یا فعال نبودن این سرورها هیچ تاثیری در ادامه روند اجرای بدافزار ندارد و از آنجایی که در یک حلقه بی‌نهایت این کار انجام می‌شود، تنها هدف آن گمراه کردن است.

ثبت زمان اجرای بدافزار در سیستم

بدافزار در اولین اجرای خود، زمان سیستم را به دست می‌آورد و پس از گذشت ۱۲ شبانه‌روز یعنی در روز ۱۳ام، شروع به برقراری اتصال TCP با سرورهای خود می‌کند. بدافزار، آدرس سرورهای خود را با استفاده از یکی از الگوهای زیر و دامنه و شماره پورت‌های هارد کد شده در PE خود به دست می‌آورد.

M%d%.%s
X%d%.%s

%d، یک عدد صحیح در بازه 42-1 است و %s دامنه هارد کد شده در PE بدافزار. برای هر ارتباط از شماره پورت متناظر با دامنه به کار گرفته شده در این الگو استفاده می‌شود. تعداد سرورهای هارد کد شده‌ی این بدافزار بسیار زیاد (بیش از ۱۰۰۰ سرور) است که در زیر تعدادی از آنها به عنوان نمونه، ذکر شده است.

m21[.]wloqtmt[.]biz
m19[.]fywkuzp[.]ru
m41[.]ilquige[.]com
m30[.]dqagyks[.]com

حفظ بقای بدافزار

بدافزار مسیر فایل خود را به کلید رجیستری “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” اضافه می‌کند. همچنین، تابع RegNotifyChangeKeyValue را برای اطلاع از تغییرات ویژگی‌ها یا محتویات کلید رجیستری ایجاد شده فراخوانی می‌کند. درصورتی که متوجه شود این کلید حذف یا تغییر کرده، یک کلید رجیستری جدید در همین مسیر برای اجرای فایل خود ایجاد می‌کند.

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستم‌عامل و آنتی‌ویروس خود را به روز نگه دارید.

چنانچه سیستم شما توسط بدافزار Mylobot آلوده شده است، مراحل زیر باید انجام شوند:

۱. قوانین Firewall تنظیم شده حذف شوند.
۲. Windows Defender و تنظیمات به روزرسانی سیستم عامل ویندوز فعال شوند.