Worm.Win32.Neutrino

شرح کلی

نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Neutrino
درجه تخریب: زیاد
میزان شیوع: زیاد

کرم (worm) چیست؟

کرم های کامپیوتری همچون Neutrino نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Neutrino چیست؟

بدافزار Neutrino بستری برای bitcoinminer ها و باج افزارها در سیستم فراهم می‌آورد. مهم‌ترین باج افزار شناسایی‌شده از طریق این بدافزار GandCrab است. این بدافزار بعد از اجرا چندین پردازه bitcoinminer را اجرا می‌کند که cpu سیستم را درگیر کرده و باعث کند شدن سیستم‌عامل می‌شوند.

توضیحات فنی

یکی از راه‌های انتشار این بدافزار از طریق درایو قابل‌حمل است. به‌نحوی‌که تمام فایل‌های موجود در درایو قابل‌حمل قربانی را به دایرکتوری به نام « _ » انتقال می‌دهد و نسخه‌ای از خود را نیز در این دایرکتوری کپی می‌کند. در بعضی از نمونه های این بدافزار در مسیر درایو قابل‌حمل دو فایل به نام‌های autorun.inf, deviceconfigmanager.vbs و در تمامی نمونه ها فایل lnk ای را در مسیر درایو قابل‌حمل قرار می‌دهد. همه فایل‌ها و دایرکتوری‌ها به‌جز فایل lnk، مخفی و از نوع سیستمی می‌باشند. ازاین‌رو زمانی که درایو قابل‌حمل را به سیستم متصل می‌کنید تنها چیزی که در آن دیده می‌شود فایل lnk است که با کلیک بر روی آن بدافزار اجرا می‌شود.
بدافزار در ابتدا بستری برای بقای خود مهیا می‌کند و سپس مانند یک بات عمل کرده و به سرور خود متصل می‌شود و طبق دستوراتی که از سرور خود می‌گیرد بستری برای ایجاد و اجرای bitcoin ها به وجود می‌آورد. با اجرای bitcoin ها سیستم کاربران به‌شدت کند می‌شود که این درنتیجه استفاده بالای پردازه‌های بدافزار از cpu است.

این بدافزار به تعدادی از پروسس های مربوط به VMWare-VirtualBox-Citrix Xen Server حساس است و در صورت اجرا بر روی یکی از این ماشینهای مجازی به اجرای خود خاتمه میدهد.

علائم آلودگی به بدافزار Neutrino:

هر یک از فایل های زیر میتواند به طور جداگانه در سیستم قربانی ساخته می‌شود:

[SystemRoot]:\\Windows\\M-505059720970246082475082628448545\\winmgr.exe

[SystemRoot]:\\Windows\\M-505059720970246082475082628448545\\winsvc.exe

[SystemRoot]:\\Windows\\M-505059720970246082475082628448545\\winsvcs.exe

[SystemRoot]:\\Windows\\M-505059720970246082475082628448545\\winsecmgr.exe

نام دایرکتوری از “M-” به بعد تصادفی است. در برخی نمونه نام دایرکتوری با “T-” شروع می‌شود.

در نمونه های جدید دیده شده نام دایرکتوری “M-” یا “T-” حذف شده و فقط یک مجموعه عدد تصادفی می باشد.

در نمونه هایی که جدیدا تحلیل شده است بدافزار با تغییر در رجیستری هایی system Restore را از کار می اندازد

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

ValueName = DisableSR

پردازه بدافزار عموماً با این اسامی اجرا می‌شود:

winsvcs.exe-winsvc.exe-winmgr.exe-winsecmgr.exe

درصورتی‌که در پردازه‌های جاری سیستم اسامی زیر مشاهده شود که پردازه پدر آن‌ها explorer.exe و Services.exeنباشد احتمال دارد که سیستم به فایل‌های bitcoin دانلود شده از این بدافزار آلوده شده باشد.

“svchost.exe”,”notepad.exe”,”winmgr.exe”,”wuapp.exe”

مسیرهای رجیستری ساخته‌شده برای بقای بدافزار:

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
ValueName = “Microsoft Windows Manager” OR “Microsoft Windows Service” OR “Microsoft Windows Services” OR “Microsoft Windows Updates” OR “Microsoft Windows Updates Manger” OR “Microsoft Windows Driver”
Data=%User Profile%\[RandomName]\winsvcs.exe
OR
[SystemRoot]:\Windows\]\[RandomName]\winsvcs.exe

در نسخه های جدید این بدافزار در سیستم عامل ویندوز 10 بدافزار رجیستری هایی که مربوط به Windows Defender میباشد را دستکاری میکند.این تغییرات باعث اختلال در عملکرد Windows Defender میشود

HKLM\Software\Policies\Microsoft\Windows‬‬ ‫‪Defender\Real-Time Protection

Value: DisableScanOnRealtimeEnable OR DisableOnAccessProtection OR DisableBehaviorMonitoring

این بدافزار همچنین دایرکتوری‌ها و درایوهای share را مانند درایوهای قابل‌حمل آلوده می‌کند.

در نمونه های جدید این بدافزار از پورت 5900 سیستم های آلوده ترافیک زیادی خارج میشود.بدافزار تلاش به برقراری ارتباط با تعداد زیادی آی پی از روی این پورت دارد.با بررسی های انجام شده بعضی از این آی پی ها متعلق به سرور های خود بدافزار هستند.

این بدافزار مدام در حال بروز رسانی خودش میباشد.

روش مقابله و پاک‌سازی سیستم

پادویش با دارا بودن قابلیت  UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. همچنین دیوار آتش آنتی‌ویروس پادویش از وقوع حملات شبکه‌ای توسط این بدافزار جلوگیری می‌کند. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال میابند ازجمله بدافزار Neutrino پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Neutrino آلوده شده است مراحل زیر را دنبال کنید:

  1. پادویش را بر رو سیستم خود نصب کنید.
  2. درایو قابل‌حمل آلوده را به سیستم وصل کنید.
  3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.