شرح کلی
نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Neutrino
درجه تخریب: زیاد
میزان شیوع: زیاد
کرم (worm) چیست؟
کرم های کامپیوتری همچون Neutrino نوعی از بدافزار محسوب میشوند که توان تکثیر کردن خود را بهصورت خودکار دارند. کرمها برای بقا، روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه هست.
بدافزار Neutrino چیست؟
بدافزار Neutrino بستری برای bitcoinminer ها و باج افزارها در سیستم فراهم میآورد. مهمترین باج افزار شناساییشده از طریق این بدافزار GandCrab است. این بدافزار بعد از اجرا چندین پردازه bitcoinminer را اجرا میکند که cpu سیستم را درگیر کرده و باعث کند شدن سیستمعامل میشوند.
توضیحات فنی
یکی از راههای انتشار این بدافزار از طریق درایو قابلحمل است. بهنحویکه تمام فایلهای موجود در درایو قابلحمل قربانی را به دایرکتوری به نام « _ » انتقال میدهد و نسخهای از خود را نیز در این دایرکتوری کپی میکند. در بعضی از نمونه های این بدافزار در مسیر درایو قابلحمل دو فایل به نامهای autorun.inf, deviceconfigmanager.vbs و در تمامی نمونه ها فایل lnk ای را در مسیر درایو قابلحمل قرار میدهد. همه فایلها و دایرکتوریها بهجز فایل lnk، مخفی و از نوع سیستمی میباشند. ازاینرو زمانی که درایو قابلحمل را به سیستم متصل میکنید تنها چیزی که در آن دیده میشود فایل lnk است که با کلیک بر روی آن بدافزار اجرا میشود.
بدافزار در ابتدا بستری برای بقای خود مهیا میکند و سپس مانند یک بات عمل کرده و به سرور خود متصل میشود و طبق دستوراتی که از سرور خود میگیرد بستری برای ایجاد و اجرای bitcoin ها به وجود میآورد. با اجرای bitcoin ها سیستم کاربران بهشدت کند میشود که این درنتیجه استفاده بالای پردازههای بدافزار از cpu است.
این بدافزار به تعدادی از پروسس های مربوط به VMWare-VirtualBox-Citrix Xen Server حساس است و در صورت اجرا بر روی یکی از این ماشینهای مجازی به اجرای خود خاتمه میدهد.
علائم آلودگی به بدافزار Neutrino:
هر یک از فایل های زیر میتواند به طور جداگانه در سیستم قربانی ساخته میشود:
[SystemRoot]:\\Windows\\M-505059720970246082475082628448545\\winmgr.exe
[SystemRoot]:\\Windows\\M-505059720970246082475082628448545\\winsvc.exe
[SystemRoot]:\\Windows\\M-505059720970246082475082628448545\\winsvcs.exe
[SystemRoot]:\\Windows\\M-505059720970246082475082628448545\\winsecmgr.exe
نام دایرکتوری از “M-” به بعد تصادفی است. در برخی نمونه نام دایرکتوری با “T-” شروع میشود.
در نمونه های جدید دیده شده نام دایرکتوری “M-” یا “T-” حذف شده و فقط یک مجموعه عدد تصادفی می باشد.
در نمونه هایی که جدیدا تحلیل شده است بدافزار با تغییر در رجیستری هایی system Restore را از کار می اندازد
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
ValueName = DisableSR
پردازه بدافزار عموماً با این اسامی اجرا میشود:
winsvcs.exe-winsvc.exe-winmgr.exe-winsecmgr.exe
درصورتیکه در پردازههای جاری سیستم اسامی زیر مشاهده شود که پردازه پدر آنها explorer.exe و Services.exeنباشد احتمال دارد که سیستم به فایلهای bitcoin دانلود شده از این بدافزار آلوده شده باشد.
“svchost.exe”,”notepad.exe”,”winmgr.exe”,”wuapp.exe”
مسیرهای رجیستری ساختهشده برای بقای بدافزار:
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
ValueName = “Microsoft Windows Manager” OR “Microsoft Windows Service” OR “Microsoft Windows Services” OR “Microsoft Windows Updates” OR “Microsoft Windows Updates Manger” OR “Microsoft Windows Driver”
Data=%User Profile%\[RandomName]\winsvcs.exe
OR
[SystemRoot]:\Windows\]\[RandomName]\winsvcs.exe
در نسخه های جدید این بدافزار در سیستم عامل ویندوز 10 بدافزار رجیستری هایی که مربوط به Windows Defender میباشد را دستکاری میکند.این تغییرات باعث اختلال در عملکرد Windows Defender میشود
HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Value: DisableScanOnRealtimeEnable OR DisableOnAccessProtection OR DisableBehaviorMonitoring
این بدافزار همچنین دایرکتوریها و درایوهای share را مانند درایوهای قابلحمل آلوده میکند.
در نمونه های جدید این بدافزار از پورت 5900 سیستم های آلوده ترافیک زیادی خارج میشود.بدافزار تلاش به برقراری ارتباط با تعداد زیادی آی پی از روی این پورت دارد.با بررسی های انجام شده بعضی از این آی پی ها متعلق به سرور های خود بدافزار هستند.
این بدافزار مدام در حال بهروزرسانی خودش میباشد.
روش مقابله و پاکسازی سیستم
پادویش با دارا بودن قابلیت UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابلحمل را میگیرد. همچنین دیوار آتش آنتیویروس پادویش از وقوع حملات شبکهای توسط این بدافزار جلوگیری میکند. ازاینرو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابلحمل انتقال میابند ازجمله بدافزار Neutrino پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Neutrino آلوده شده است مراحل زیر را دنبال کنید:
- پادویش را بر رو سیستم خود نصب کنید.
- درایو قابلحمل آلوده را به سیستم وصل کنید.
- با استفاده از پادویش درایو قابلحمل خود را اسکن کنید تا درایو قابلحمل و سیستم آلوده شما پاکسازی شود.