Trojan.Win32.Vools

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.Vools
Trojan.Win64.Vools
درجه تخریب: زیاد
میزان شیوع: زیاد
آسیب‌پذیری مورد استفاده: ms17-010

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند، اما هنگامی‌که اجرا می‌شوند خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راه‌های ورود تروجان‌ها می‌باشند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Vools چیست؟

تروجان Vools از نمونه بدافزارهایی است که برای انتشار خود از آسیب‌پذیری‌های مبتنی بر EternalBlue و DoublePulsar استفاده می‌کنند. هدف نهایی این بدافزار استخراج ارز مجازی است. در حال حاضر بدافزارهایی که از چنین شیوه آلودگی استفاده می‌کنند رو به افزایش هستند. این بدافزار از نوع ماینر بوده و هدف آن استفاده از پردازنده سیستم قربانی برای استخراج ارز دیجیتالی بیت‌کوین است.

توضیحات فنی

علائم آلودگی به بدافزار Vools:
از علائم آلودگی به این بدافزار به وجود فایل‌های زیر در سیستم قربانی می‌توان اشاره نمود:

•    “[SystemRoot]\Windows\System32\Wmassrv.dll”
•    “[SystemRoot]\Windows\System32\EnrollCertXaml.dll”

اگر در سیستم خود فایل‌هایی با نام spoolsv.exe و svchost.exe مشاهده کردید که در یکی از دایرکتوری‌های زیر مستقرشده‌اند، متأسفانه شما توسط این بدافزار موردحمله قرارگرفته‌اید.

•    “[SystemRoot]\Windows\IME\Microsoft”
•    “[SystemRoot]\Windows\IME\Crypt”
•    “[SystemRoot]\Windows\IME\Daps”
•    “[SystemRoot]\Windows\SpeechsTracing”
•    “[SystemRoot]\Windows\System32\SysprepThemes”
•    “[SystemRoot]\Windows\System32\SecureBootThemes”

این دو فایل از آسیب‌پذیری‌های سیستم شما استفاده کرده و بدافزار را در سراسر شبکه محلی شما پخش می‌کنند.
فایل svchost.exe آسیب‌پذیری EternalBlue را مورداستفاده قرار می‌دهد تا زمینه انتشار بدافزار را بر روی سایر کلاینت‌ها فراهم نماید. این عمل بدین‌صورت انجام می‌شود که بعد از شناسایی کردن تمامی آی‌پی‌های موجود در شبکه به نصب backdoor در آن سیستم‌ها می‌پردازد.
از سوی دیگر، فایل spoolsv.exe پس از اجرای svchost.exe و فراهم شدن شرایط موردنیاز، مسئولیت پخش فایل‌های بدافزار به کلاینت‌های متصل به سیستم قربانی را بر عهده دارد.
فایل Wmassrv.dll به‌وسیله spoolsv.exe به سیستم قربانی منتقل می‌شود و درون پردازه lsass.exe تزریق می‌شود. در بعضی موارد دیده‌شده به دلیل رخ دادن Buffer OverFlow پردازه lsass.exe بسته می‌شود. به دلیل اینکه این پردازه جزء پردازه‌های Critical است، با بسته شدن آن سیستم‌عامل Critical error می‌دهد و سیستم را Restart می‌کند.
درصورتی‌که این Critical error رخ ندهد برنامه روال عادی خود را طی می‌کند که شامل موارد زیر است:
برای فایل Wmassrv.dll در سیستم قربانی یک سرویس و TaskScheduler ساخته می‌شود. این TaskScheduler با استفاده از فایل rundll32.exe ویندوز، Wmassrv.dll را اجرا می‌کند.
اقدام به دانلود فایل‌های Bitcoin می‌کند. اسامی و مسیر فایل‌های bitcoin که ممکن است توسط بدافزار دانلود شوند و در سیستم قربانی به اجرا درآیند به شرح زیر است:

•    “[SystemRoot]\Windows\System32\TasksHostServices.exe”
•    “[SystemRoot]\Windows\System32\SmssServices.exe”

روش مقابله و پاک‌سازی سیستم

جهت پیشگیری از آلودگی‌های احتمالی توسط بدافزارهایی که از آسیب‌پذیری EternalBlue استفاده می‌کنند،‌ پیشنهاد می‌شود از وصله امنیتی ارائه‌شده توسط مایکروسافت ms17-010 استفاده کنید.

بخش جلوگیری از نفوذ (IPS) آنتی‌ویروس پادویش این‌گونه آسیب پذیری‌ها را شناسایی کرده و از ورود آن به سیستم قربانی جلوگیری می‌کند. همچنین پادویش، این بدافزار را شناسایی و پاک‌سازی می‌کند.