تروجان اسید

بررسی تروجان ایرانی بنام اسید

  این تروجان به صورت کاملاً حرفه‌ای و برای مقاصد خاص نوشته شده است. هدف به طور دقیق مخاطبان و علاقمندان و دنبال‌کنندگان اخبار اجتماعی ایران بوده است. در واقع نویسنده قصد داشته تمام گذرواژه‌های این افراد رو بدزد و از آنها سوء استفاده کند. اگر علاقمندید که بدانید این تروجان چطور کار می‌کند متن زیر را مطالعه فرمائید.

این ویروس از طریق فایل asid.rar که به ایمیل ضمیمه شده است خود را منتشر کرد که شامل فایلی است به نام asid.exe. این فایل، یک فایل فشرده‌ شده است که حاوی دو فایل دیگر به نام‌های زیر است:

winzip.exe   و    asid.docx

در تصویر پایین می‌بینید که بعد از اجرای فایل asid.exe ابتدا فایل asid.docx اجرا می‌شود که یک فایل متنی است. فایل متنی که احتمالاً از روی وبلاگ‌هایی کپی شده درباره ماجرای قصاص اسیدپاشی نوشته است.

بعد از اجرای این فایل متنی، فایل winzip.exe اجرا میشود. این فایل بسته به نوع سیستم‌عامل، فولدرها و فایل‌های زیر را ایجاد میکند:

۱- در ویندوزهای دسته اول یعنی ۹۸ یا XP در مسیر C:\Programfiles\CommonFiles فولدری با نام VMConvert32 ایجاد میکند.

۲- در ویندوزهای دسته دوم یعنی ۲۰۰۸، ویستا و ویندوز هفت در مسیر AppData\Roaming فولدری بانام VMConvert32  ایجاد میکند.

در این فولدر فایل‌های زیر دیده میشود:

• فایل wmccds.exe فایل اجرایی تروجان است.
• فایل wmccds.ini تنظیمات تروجان را شامل میشود.
• فایل wmccds.dat اطلاعات ذخیره‌شده را در خود نگهداری میکند.

همچنین بعد از اجرای winzip.exe علاوه بر فولدرهای بالا در رجیستری کلیدی ایجاد میشود تا برنامه را به این صورت خودکار اجرا کند:

خب حالا به بخش جالب ماجرا میرسیم. بعد از یک بار ری‌استارت کامپیوتر برنامه همراه explorer.exe در ویندوزهای دسته اول و به صورت یک پروسس مجزا در ویندوزهای دسته دوم اجرا میشود. بعد از راه‌اندازی ویندوز، تروجان شروع به کار میکند و تمامی اطلاعاتی را که در کلیپ‌برد وارد میکنید (همان جای موقتی که نوشته‌ها را بعد از کپی در خود نگه میدارد تا آن را در جایی که می‌خواهید پیست کنید) و برنامه‌های اجرا شده در سیستم و هر کلیدی را که فشار میدهید، در فایل wmccds.dat ذخیره میکند و به محض اتصال به اینترنت، فایل گزارشی با نام temp997.htm ایجاد کرده و برای آدرس تعریف شده در تروجان (مثلاً ایمیل یا سرور نویسنده این تروجان) ارسال میکند.

توجه داشته باشید که این تروجان تمام اطلاعات و گذرواژه‌های ذخیره شده در مرورگرهای اینترنت اکسپلورر، فایرفاکس و اپرا را هم استخراج کرده و آنها را هم ارسال میکند. دراین برنامه همچنین امکانی تعریف شده تا بتواند با اتصال به سروری که در دل برنامه تعریف شده، برنامه‌های دیگری را روی سیستم دانلود و اجرا کند.

این برنامه از طریق ایمیل و فلش مموری تکثیر میشود.

این هم نمونه‌ای از متن ارسالی توسط این برنامه:

Thousands of endangered penguins have been coated with oil after a cargo ship ran aground and broke up on a remote British South Atlantic territory, officials and conservationists said Tuesday.The shipwreck also threatens the lobster fishery that provides a livelihood to one of the worlds most isolated communities. The Malta-registered MS Olivia was grounded on Nightingale Island in the Tristan da Cunhachain last week. The ship had been traveling from Brazil to Singapore and contained 1,500 metric tons (1,650 tons) of crude oil and a cargo of 60,000 metric tons (66,000 tons) of soya beans.

توجه: فایل پیوست این ایمیل با نام main937.exe ارسال میشود.

برای پاکسازی کافیست فولدرهای یاد شده برنامه را به صورت کامل پاک کنید.