Worm.Win32.Boxter

شرح کلی

نوع: کرم (Worm)
اسامی بدافزار:
Worm.JS.Boxter.n
Worm.Win32.Boxter.lnk
درجه تخریب: بالا
میزان شیوع: متوسط

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون Boxter نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Boxter چیست؟

این بدافزار در قالب سرویس و دستوراتی که از سوی هکر دریافت می‌کند به صورت command & control، کنترل سیستم قربانی را از راه دور بدست می‌گیرد و همچنین به ذخیره اطلاعات سیستم و سرقت اطلاعات مرورگر پرداخته و اطلاعات ذخیره شده را به هکر ارسال می‌کند.
در اولین اجرا، نسخه‌هایی از فایل js خود را در مکان‌های مختلف سیستم ایجاد و برای بقای خود کلید رجیستری‌هایی را ایجاد می‌کند.
این کرم از طریق ایمیل و درایوهای قابل حمل با ایجاد فایل lnk منتشر می‌شود. همچنین قابلیت غیر فعال کردن سرویس‌های امنیتی مانند UAC را در سیستم قربانی دارد.
این بدافزار دارای ماژول Keylogger می‌باشد که کلید‌های فشرده شده توسط صفحه کلید را ذخیره می‌کند، همچنین سعی می‌کند به آدرس‌هایی با پورت مشخص جهت دانلود متصل شود.
علاوه‌ بر‌ این، بدافزار قابلیت نصب، به‌روزرسانی و حذف کردن خود را دارد.

توضیحات فنی

علائم:

  •  وجود فایل js با نام تصادفی در مسیر %appdata%
  • پنهان شدن ناگهانی فایل‌های داخل usb یا سایر درایوهای قابل حمل در هنگام اتصال به سیستم
  •  وجود فایل‌های lnk ناشناس در usb
  • خاموش شدن یا ریستارت ناگهانی سیستم

 

شرح عملکرد

بدافزار در قالب یک فایل lnk منتشر می‌شود. با اجرای این lnk فایل پاورشلی دانلود و اجرا می‌شود که یک فایل js شامل کد base64 ایجاد می‌کند. این فایل عملیات اصلی بدافزار را انجام می‌دهد.

این بدافزار فایل js خود را در مسیرهای زیر با نام تصادفی کپی می‌کند:

root]:\Users\Public\”random name”.jpg]

root]:\Users\Public\”random name”.js]

root]:\Users\user\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\”randomn ame”.js]

root]:\Users\user\AppData\Roaming\”random name”.js]

 

بدافزار همچنین در کلید رجیستری run در مسیر زیر برای خود بقا ایجاد می‌کند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”random name”

مقادیر زیر تحت تابع disableSecurity در رجیستری قرار داده می‌شوند:

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,enableLUA , 0

این قابلیت، دو ویژگی AAM و UAC رافعال می‌کند که با ست کردن مقدار 0 توسط این بدافزار غیرفعال می‌شوند (UAC یک ویژگی امنیتی ویندوز است که به جلوگیری ازتغییرات غیرمجاز درسیستم عامل کمک می‌کند.)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ,ConsentPromptBehaviorAdmin, 0

(این گزینه به Admin اجازه می‌دهد عملیاتی را بدون رضایت یا اعتبارسنجی انجام دهد.)

در جدول زیر لیست دستورات C&C سرویس بدافزار همراه با عملکرد آنها را مشاهده می‌کنید:

فرمان عملکرد
disconnect پردازه اصلی بدافزار بسته می‌شود.
reboot راه‌اندازی مجدد سیستم
shutdown خاموش کردن سیستم
execute اجرای دستور مورد نظر هکر (مثلا اجرای یک فایل اجرایی یا کد خاص)
install-sdk اگر فایل %temp%\wshrat\python.exe وجود داشته باشد بدافزار پیام “SDK+Already+Installed” را به سرور هکر ارسال می‌کند و در غیر این صورت فایل wshsk.zip را از آدرس hxxp://2813.noip.me:2813/moz-sdk دانلود می‌کند و پیام“SDK+Installed” را به سرور می‌فرستد.
get-pass  پسورد مرورگرهای مورد نظرش را به سرور می‌فرستد.
get-pass-offline پسورد تمام مرورگرهای نصب شده در سیستم قربانی را به سرور می‌فرستد.
Update اخرین نسخه فایل js خود را از سرور دانلود می‌کند.
Uninstall تمام فایل‌ها و مقدارهای ست شده در رجیستری و startup ها حذف و همچنین فایل اجرایی بدافزار بسته می‌شود.
up-n-exec دانلود و اجرای فایل‌های اجرایی مورد نظرش از سرور
bring-log ارسال log file موردنظر هکر از اطلاعات سیستم قربانی به سرور
down-n-exec دانلود و اجرای فایل‌های اجرایی مورد نظرش از URL مورد نظر
filemanager دانلود فایل
rev-proxy ایجاد فایل rprox.exe در سیستم، که به صورت کد base64 در فایل js وجود دارد و توسط خود بدافزار رمزگشایی شده‌است.
exit-proxy  بستن پردازه rprox.exe
keylogger ایجاد فایل kl-plugin.exe در سیستم، که به صورت کد base64 در فایل js وجود دارد و توسط خود بدافزار رمزگشایی شده‌است. این فایل وظیفه جمع آوری اطلاعات از سیستم قربانی را برعهده دارد.
cmd-shell دستور مشخص در کنسول اجرا شده و خروجی آن برای سرور ارسال می‌شود.
get-processes جمع آوری مشخصات پردازه‌های در حال اجرا
disable-uac مقادیر تابع disableSecurity را در رجیستری قرار می‌دهد و پیام (UAC+Disabled+Reboot+Required) را به سرور می‌فرستد.
check-eligible اگر فایل موردنظر بدافزار در سیستم وجود داشته باشد، پیام Is+Eligible را ارسال می‌کند.
force-eligible اگر فایل موردنظر بدافزار در سیستم وجود داشته باشد، آن را اجرا و پیام SUCCESS را ارسال می‌کند. در غیر این صورت، پیام Component+Missing را ارسال می‌کند.
elevate اگر بدافزار به درستی اجرا نشده باشد، دوباره اجرا و پیام Client+Elevated به سرور ارسال می‌شود.
if-elevate اگر بدافزار به درستی اجرا شده‌باشد، پیام Client+Elevated و در غیر این صورت پیام Client+Not+Elevated به سرور ارسال می‌شود.
kill-process بستن پردازه‌های مشخص شده با id
sleep اجرای دستور sleep در زمان مشخص شده

 

بدافزار به دو روش منتشر می‌شود :

1. توسط درایو‌های قابل حمل

فایل‌ها و فولدرهای داخل فلش را مخفی و به ازای هر کدام یک فایل lnk ایجاد می‌کند. همچنین فایل js خود را داخل فلش کپی می‌کند و به ازای آن lnk می‌سازد.
تارگت فایل‌های lnk به صورت زیر می‌باشد:

C:\Windows\system32\cmd.exe /c start “random name”.js&start explorer “file or folder name”&exit

2. در پیوست ایمیل‌ها خود را کپی و ایمیل را ارسال می‌کند.

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش با دارا بودن قابلیت UMP که جزء محافظت رفتاری آن است، جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی مانند این بدافزار که از طریق درایو قابل‌حمل انتقال می‌یابند، پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Boxter آلوده شده است، مراحل زیر را دنبال کنید:

1. پادویش را بر روی سیستم خود نصب کنید.

2. درایو قابل ‌حمل آلوده را به سیستم وصل کنید.

3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.