چطور با ویروس ایرانی “مارمولک” مقابله کنیم؟

به گزارش کمال مهر به نقل از بایت؛ بسیاری از بدافزارهای سارق اطلاعاتی که ما در کشورمان با آن‌ها برخورد می‌کنیم، بدافزارهای خارجی هستند.

اگر حساب کاربری گوگل یا یکی از شبکه‌های اجتماعی یک کاربر به دست سارقان اطلاعاتی بیفتد، به احتمال زیاد، منافعی از این اطلاعات برای سارقان حاصل می‌شود ولی حساب‌های بانکی ریالی به خصوص در شرایط اخیر، منافع زیادی برای یک سارق اطلاعاتی خارجی نخواهد داشت.

این جاست که باید در مقابل سارقان اطلاعاتی ایرانی نگرانی بیشتری داشت، چرا که این نوع سارق‌ها بیشترین سود را از سرقت اطلاعات یک کاربر ایرانی می‌برند. اگر چه این نوع بدافزارها زیاد نیستند اما وجود دارند.

به تازگی مرکز ماهر از انتشار یک بدافزار ایرانی، موسوم به مارمولک خبر داده است؛ بدافزاری که یک Keylogger محسوب می‌شود و عبارات تایپ شده به وسیله صفحه‌کلید را از سیستم‌‌های‌عامل ویندوز سرقت کرده و برای سارق ارسال می‌نماید.

به نقل از ماهر، حملات هدفمند از چندین مرحله تشکیل می‌شوند که به زنجیره قتل APT شناخته می‌شوند. مهاجمان به عنوان بخشی از فاز مسلح کردن خود، اغلب یک Payload را در یک فایل قرار می‌دهند.

این فایل پس از نصب، در فاز دستور و کنترل (C2) به مهاجم متصل می‌شود.

یک Payload بسیار معمول مورد استفاده بسیاری از بدافزارهای سرقت کلمه عبور، نرم‌افزار ثبت ضربات صفحه کلید (Keylogger) است.

هدف از ثبت ضربات صفحه‌کلید این است که ضربات صفحه‌کلید کاربر ضبط شده و اطلاعات اعتباری و لینک‌های مورد استفاده او به منابع داخلی و خارجی جمع‌آوری گردد.

به تازگی یک بدافزار ایرانی ثبت ضربات صفحه‌کلید شناسایی شده است که بر اساس همین روش، به سرقت اطلاعات کاربران ایرانی و منطقه مشغول شده است.

نخستین ظهور این Keylogger به یک فروم در خاورمیانه باز می‌گردد.

اگر چه ممکن است برخی Keylogger‌ها، ضربات صفحه‌کلید را برای مقاصد قانونی ثبت نمایند اما این بدافزار قربانیان خود را با یک Payload پنهان گمراه می‌سازد.

به نظر می‌رسد که تولیدکننده این بدافزار، با قرار دادن آن در فروم مذکور، قصد حمله به سایر اعضا را داشته است.

این کار، یک روش کاملا مرسوم است که بسیاری از بدافزارنویسان در جهان برای منتشر کردن بدافزار خود، از آن‌ بهره می‌برند.

نویسندگان بدافزار معمولا برای جلوگیری از شناسایی شدن بدافزار خود، از ابزارهای ارزان و ساده‌ای استفاده می‌کنند که بدافزار را با یک برنامه Runtime فشرده‌سازی یا رمزگذاری، تغییر می‌دهد. در این مورد خاص، فایل‌های مرتبط توسط یک نسخه تغییر یافته از ابزار مشهور UPX پنهان شده‌اند.

این فایل در هنگـام اجرا، یک کپی از خود را با نام Mcsng.sys در پوشه Sysytem32 ایجاد می‌کند. این بـدافزار همچنین پردازشی را اجرا می‌کند که فایل ۱stmp.sys را در پوشه system32\config جای‌گذاری کـرده و اطلاعـات سرقت شـده را در آن می‌نـویسد.

اگر چه پسوند این فایل .sys (پسوند فایل‌های سیستمی) است اما در حقیقت این فایل یک فایل سیستمی نیست.

هدف این فایل این است که به عنوان یک فایل لاگ عمل کند. اطلاعات ذخیره شده در این فایل، محتوی ضربات صفحه کلید کاربر است که به صورت رمز شده ذخیره شده‌اند. هر بار که یک کلید فشرده می‌شود، این پردازش، ضربات صفحه‌کلید را ثبت کرده، آن را رمز و به محتویات فایل ۱stmp.sys اضافه می‌کند.

نویسنده این بـدافزار، از یـک الگوریتم رمزگذاری ساده بـرای رمز کردن اطلاعات سرقت شده استفاده کرده است. ایـن بـدافزار از رمزگذاری انتخابی با دو تکنیک استفاده می‌کنـد. هر بایت درصورتی‌ که فرد باشد با استفاده از تکنیـک ۱ رمز می‌شود و در صورتی‌ که زوج باشد، با استفاده از تکنیک ۲ رمزگذاری می‌گردد.

این بـدافزار در نـوع خـود، بدافـزار پیشرفته‌ای محسوب می‌شود و در کنار اطلاعـات تایـپ شده به وسیله صفحه کلیـد، اطـلاعـاتی از جملـه محل تایپ شدن حروف، آدرس سایتـی که کاربـر در همان لحظه در آن قرار دارد و زمان تایپ حروف را نیز ذخیره می‌کند.

پـس از ثبت و رمز گذاری ضربات صفحه کلید قربانی، این بدافزار این اطلاعات را برای نویسنده خود ایمیل می‌کند.

این بدافزار همچنین نام رایانه و نام کاربر را نیز برای سازنده خود می‌فرستد.

آنتی‌ویـروس مـک‌آفی این تـروجان keylogger و نسخه‌های مختلـف آن را بـا عنوان Keylog-FAG شناسایی می‌کند.