شرح کلی
نوع: تروجان (Trojan)
درجه تخریب: متوسط
میزان شیوع: متوسط
اسامی بدافزار
- Padvish) Trojan.Win32.NetWire.a)
- Microsoft) Backdoor:Win32/Netwire.GG!MTB)
- ESET-NOD32) A Variant Of Win32/Kryptik.HLLV)
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند، خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راههای ورود تروجانها به سیستم هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار NetWire چیست؟
NetWire یک تروجان از نوع RAT است که با هدف دسترسی به سیستم قربانی از راه دور و نظارت و یا کنترل سیستم آلوده طراحی شده است. این بدافزار به مهاجم امکان اتصال از راه دور به سیستم قربانی را به منظور اجرای کدهای مخرب، از سرور فرمان و کنترل خود میدهد. همچنین قابلیتهای نظارتی این بدافزار عبارت است از ثبت کلیدهای فشرده شده از صفحه کلید، گرفتن عکس از صفحه نمایش، سرقت گذرواژهها و دسترسی به دوربین وب و میکروفون.
توضیحات فنی
علائم آلودگی
1. وجود فایل Host.exe در مسیر AppData%\Install%
2. ایجاد بقا در رجیستری برای اجرای فایل Host.exe
3. وجود فایلی با نامی با قالب DAY-MONTH-YEAR در مسیر AppData%/Roaming/Logs%
شرح عملکرد
با اجرای بدافزار، فایلی با نام “Host.exe” در مسیر “AppData%\Install\Host.exe%” ایجاد و اجرا میکند. NetWire کلید اصلی خود را در مسیر (HKCU \ SOFTWARE \ NetWire) رجیستری ایجاد میکند. به این ترتیب، هنگامی که سیستم آلوده شروع به کار میکند، کپی بدافزار به طور خودکار اجرا میشود. همانطور که در تصویر زیر مشاهده میکنید، بدافزار به ازای سیستم قربانی یک شناسه منحصر به فرد تحت عنوان HostID-XXXXXX در رجیستری ثبت میکند.
بدافزار سعی میکند دادههای ورود کاربران را از مرورگرهای وب همچون Google Chrome و Brave Browser جمع آوری کند.
همچنین در مرورگر Internet Explorer گذرواژهها به صورت رمز شده در مسیر رجیستری زیر ذخیره میشوند که مهاجم تلاش دارد به دادههای آن دسترسی پیدا کند:
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2
از دیگر اقدامات این بدافزار این است که فهرست پروفایلهای Microsoft Outlook را بر روی دستگاه قربانی اسکن میکند تا اطلاعاتی را جمع آوری کند.
در ادامه بدافزار تلاش دارد با جمع آوری و ثبت حرکت ماوس و ورودیهای کیبورد به عنوان منبع بالقوه از اطلاعات حساس قربانی برای فعالیتهای مخرب یا منافع مالی خود استفاده کند. NetWire دادهها و اطلاعات به دست آمده را در یک فایل لاگ در مسیر “%AppData%/Roaming/Logs” مطابق با تاریخ آلوده شدن دستگاه قربانی ذخیره میکند.
دادههای موجود در فایل log با استفاده از یک الگوریتم رمزنگاری رمز میشوند . هرچه بدافزار روی سیستم قربانی باقی بماند، فایل بزرگتر میشود، زیرا داده و اطلاعات بیشتری از سیستم قربانی را جمع آوری میکند.
NetWire در حین جمع آوری اطلاعات، تلاش خواهد کرد تا یک اتصال TCP با سرور خود از راه دور ایجاد کند. در نمونههای بررسی شده، مشخص شد این بدافزار تلاشهای مستمری برای ایجاد ارتباط بر روی پورت 3382 با آدرس مورد نظر انجام میدهد.
در صورت موفقیت آمیز بودن این اتصال، مهاجم میتواند دادههای گرفته شده را منتقل کرده یا اقدامات مخرب دیگری مانند بارگیری و اجرای کدهای مخرب اضافی را انجام دهد. آدرسی که بدافزار سعی در دستیابی به آن دارد:
“automan[.]duckdns[.]org:3382”
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای ضمیمه ایمیلها را قبل از اجرا، حتما پویش کنید. همچنین، در صورت امکان همیشه سیستمعامل و آنتیویروس خود را به روز نگه دارید.