.png "عصر ایران")
۰۶ ارديبهشت ۱۴۰۳
به روز شده در: ۰۶ ارديبهشت ۱۴۰۳ - ۲۰:۴۹
کنایه رییس دفتر رئیس جمهور سابق به آمارهای رییسی (فیلم) بدافزار ایرانی مارمولك
نویسندگان بدافزارها اغلب برای جلوگیری از شناسایی شدن، از ابزارهای ارزان و سادهای استفاده میكنند كه بدافزار را با یك برنامه runtime فشرده سازی یا رمزگذاری، تغییر میدهد. البته در این مورد خاص، فایلهای مرتبط توسط یك نسخه تغییر یافته از ابزار مشهور UPX پنهان شدهاند.
حملات هدفمند از چندین مرحله تشكیل میشوند كه به زنجیره قتل APT شناخته
میشوند. مهاجمان به عنوان بخشی از فاز مسلح كردن خود، اغلب Payloadی را در
یك فایل قرار میدهند كه زمانی كه نصب میگردد، در فاز دستور و كنترل (C۲)
به مهاجم متصل میشود.
به گزارش مرکز ماهر، یك payload بسیار معمول مورد استفاده بسیاری از بدافزارهای سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كلید (keylogger) است. هدف از ثبت ضربات صفحه كلید این است كه ضربات صفحه كلید كاربر ضبط شود و اطلاعات اعتباری وی و لینكها به منابع داخلی و خارجی جمعآوری گردد.
اخیراً بدافزار مارمولك كه یك نرم افزار ایرانی ثبت ضربات صفحه كلید است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D97 شناسایی شده است.
نخستین ظهور این keylogger به یك فروم در خاورمیانه باز میگردد. اگرچه ممكن است برخی keylogger ها ضربات صفحه كلید را برای مقاصد قانونی ثبت نمایند، اما این نرمافزار قربانیان خود را با یك payload پنهان گمراه میسازد.
به نظر میرسد كه تولید كننده این بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به سایر اعضای این فروم را داشته است كه این كار تكنیكی مرسوم است.
نویسندگان بدافزارها اغلب برای جلوگیری از شناسایی شدن، از ابزارهای ارزان و سادهای استفاده میكنند كه بدافزار را با یك برنامه runtime فشرده سازی یا رمزگذاری، تغییر میدهد. البته در این مورد خاص، فایلهای مرتبط توسط یك نسخه تغییر یافته از ابزار مشهور UPX پنهان شدهاند.
این فایل در هنگام اجرا یك كپی از خود با نام Mcsng.sys در فولدر Sysytem32 ایجاد میكند. این بدافزار همچنین پروسهای را اجرا میكند كه فایل ۱stmp.sys را در فولدر system32\config جایگذاری كرده و مینویسد.
اگرچه پسوند این فایل .sys (فایل سیستمی) است، اما در حقیقت این فایل سیستمی نیست. هدف این فایل این است كه به عنوان یك فایل لاگ عمل كند كه محتوی ضربات صفحه كلید كاربر است كه به صورت رمز شده ذخیره شدهاند.
هربار كه یك كلید فشرده میشود، این پروسه ضربات صفحه كلید را ثبت میكند، آن را رمز كرده و به 1stmp.sys اضافه میكند.
اگرچه الگوریتم رمزگذاری مورد استفاده برای این كار ساده است، ولی از رمزگذاری انتخابی با دو تكنیك استفاده میكند: هر بایت درصورتیكه فرد باشد با استفاده از تكنیك ۱ رمز میشود و درصورتیكه زوج باشد، با استفاده از تكنیك ۲ رمزگذاری میگردد.
پس از رمزگشایی نه تنها ضربات صفحه كلید قابل مشاهده هستند، بلكه اطلاعات زمانی ثبت این اطلاعات نیز قابل مشاهده است. پس از ثبت و رمز گذاری ضربات صفحه كلید، این بدافزار این اطلاعات را برای نویسنده خود ایمیل میكند.
این بدافزار همچنین نام كامپیوتر و نام كاربر را نیز برای سازنده خود میفرستد. لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال میگردد كه بر روی دامنهای میزبانی میشود كه به میزبانی بدافزارها مشهور است.
مكآفی این تروجان keylogger و نسخههای مختلف آن را با عنوان Keylog-FAG میشناسد. برای جلوگیری از آلوده شدن توسط انواع keylogger ها، باید آنتیویروس خود را بهروز نگه دارید و از منابع نامطمئن دانلود نكنید.
به گزارش مرکز ماهر، یك payload بسیار معمول مورد استفاده بسیاری از بدافزارهای سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كلید (keylogger) است. هدف از ثبت ضربات صفحه كلید این است كه ضربات صفحه كلید كاربر ضبط شود و اطلاعات اعتباری وی و لینكها به منابع داخلی و خارجی جمعآوری گردد.
اخیراً بدافزار مارمولك كه یك نرم افزار ایرانی ثبت ضربات صفحه كلید است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D97 شناسایی شده است.
نخستین ظهور این keylogger به یك فروم در خاورمیانه باز میگردد. اگرچه ممكن است برخی keylogger ها ضربات صفحه كلید را برای مقاصد قانونی ثبت نمایند، اما این نرمافزار قربانیان خود را با یك payload پنهان گمراه میسازد.
به نظر میرسد كه تولید كننده این بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به سایر اعضای این فروم را داشته است كه این كار تكنیكی مرسوم است.
نویسندگان بدافزارها اغلب برای جلوگیری از شناسایی شدن، از ابزارهای ارزان و سادهای استفاده میكنند كه بدافزار را با یك برنامه runtime فشرده سازی یا رمزگذاری، تغییر میدهد. البته در این مورد خاص، فایلهای مرتبط توسط یك نسخه تغییر یافته از ابزار مشهور UPX پنهان شدهاند.
این فایل در هنگام اجرا یك كپی از خود با نام Mcsng.sys در فولدر Sysytem32 ایجاد میكند. این بدافزار همچنین پروسهای را اجرا میكند كه فایل ۱stmp.sys را در فولدر system32\config جایگذاری كرده و مینویسد.
اگرچه پسوند این فایل .sys (فایل سیستمی) است، اما در حقیقت این فایل سیستمی نیست. هدف این فایل این است كه به عنوان یك فایل لاگ عمل كند كه محتوی ضربات صفحه كلید كاربر است كه به صورت رمز شده ذخیره شدهاند.
هربار كه یك كلید فشرده میشود، این پروسه ضربات صفحه كلید را ثبت میكند، آن را رمز كرده و به 1stmp.sys اضافه میكند.
اگرچه الگوریتم رمزگذاری مورد استفاده برای این كار ساده است، ولی از رمزگذاری انتخابی با دو تكنیك استفاده میكند: هر بایت درصورتیكه فرد باشد با استفاده از تكنیك ۱ رمز میشود و درصورتیكه زوج باشد، با استفاده از تكنیك ۲ رمزگذاری میگردد.
پس از رمزگشایی نه تنها ضربات صفحه كلید قابل مشاهده هستند، بلكه اطلاعات زمانی ثبت این اطلاعات نیز قابل مشاهده است. پس از ثبت و رمز گذاری ضربات صفحه كلید، این بدافزار این اطلاعات را برای نویسنده خود ایمیل میكند.
این بدافزار همچنین نام كامپیوتر و نام كاربر را نیز برای سازنده خود میفرستد. لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال میگردد كه بر روی دامنهای میزبانی میشود كه به میزبانی بدافزارها مشهور است.
مكآفی این تروجان keylogger و نسخههای مختلف آن را با عنوان Keylog-FAG میشناسد. برای جلوگیری از آلوده شدن توسط انواع keylogger ها، باید آنتیویروس خود را بهروز نگه دارید و از منابع نامطمئن دانلود نكنید.
نظرات کاربران
لینک کوتاه: کپی لینک
کشف اسکلتهای 5 هزارساله که به شیوۀ «مافیا» قربانی شده بودند (+عکس) ۳ مورد از شگفت انگیزترین اکتشافات مصر باستان؛ از شهر طلایی تا مقبره نفرین شده (+عکس) بمب منفجرنشدهای که 100 سال زینتبخش یک باغچه بود! (+عکس) فال حافظ امروز : یک غزل ناب و یک تفسیر گویا (6 اردیبهشت) 130 سال قبل چه اتفاقی افتاد که «گوسفندها» دیوانه شدند؟! تخت جمشید دوم ایران کجاست؟ تخلفات راهنمایی و رانندگی و مبلغ جریمه ها در کشورهای همسایه چگونه است؟ 10 سریال گانگستری تماشایی که بر اساس داستان واقعی ساخته شدند(+عکس) فال حافظ امروز : یک غزل ناب و یک تفسیر گویا (5 اردیبهشت) این کیک کرامبل توت فرنگی را با روشی متفاوت بپزید تهدیدی به نام سندروم «ددی ایشو»! نگاهی به بدترین گوشی های هوشمند جهان؛ از آیفون ۶ تا گلکسی نوت ۷ انفجاری (+عکس) ۱۵ کشور آسیایی که سریعترین روند کاهش جمعیت را دارند چرا بخشیدن پدر و مادرمان تا این اندازه دشوار است؟ ۷ موقعیت در زندگی که هنگام مواجهه با آن ها باید «نه» بگوییم
وبگردی