[[{"content_id":427511,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"بدافزار Adwind، درب ورودی هکرها","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"عناوین این هرزنامه ها متفاوت بوده و دائماً در حال تغییر هستند.\r\n\r\n\r\n\r\n Adwind بدافزاری از نوع درب پشتی (Backdoor) است که بسترهایی را که از فایل های Java پشتیبانی می کنند هدف قرار می دهد.\r\n\r\n \r\n\r\nبعد از اجرا شدن فایل مخرب JAR، بدافزار خود را بی سروصدا نصب کرده و از طریق یک درگاه از پیش تعیین شده با نفوذگر ارتباط از راه دور برقرار می کند. بدافزار Adwind از طریق هرزنامه ها منتشر می شود. برای مثال، در نمونه زیر، فایل مخرب JAR در یک فایل MS Word جاسازی شده است.\r\n\r\n \r\n\r\nبا باز شدن فایل DOC توسط کاربر، کد مخرب اجرا و درب پشتی بر روی دستگاه نصب می شود.\r\n\r\n \r\n\r\n\r\n\r\n \r\n\r\nدر نمونه ای دیگر، فایل JAR در کنار یک فایل PDF به ایمیل پیوست شده است.\r\n\r\n \r\n\r\n\r\n\r\n \r\n\r\nعناوین این هرزنامه ها متفاوت بوده و دائماً در حال تغییر هستند. برخی عناوین استفاده شده بشرح زیر می باشد:\r\n\r\n \r\n\r\n***SPAM*** Re: Payment\/TR COPY-Urgent\r\n\r\ncredit note for outstanding payment of Invoice\r\n\r\nFwd: \/\/Top Urgent\/\/ COPY DOCS\r\n\r\nRe:Re: Re:Re:Re TT copy & PIs with Amendments very urgent…\r\n\r\nPO#939423\r\n\r\nWestern Union Transaction\r\n\r\n \r\n\r\nبه همین ترتیب نام فایل های مخرب JAR نیز متغیر هستند. تعدادی از نمونه های مشاهده شده عبارتند از:\r\n\r\n \r\n\r\nShipment_copies (2).jar\r\n\r\nFUD FIle.jar\r\n\r\nPO 8324979(1).jar\r\n\r\nShipping Documents.jar\r\n\r\nTelex Copy.jar\r\n\r\nINSTRUCTIONCZ121.jar\r\n\r\nOrder939423.jar\r\n\r\nPayment TT COPY.jar\r\n\r\nSCAN_DRAFT COPY BL,PL,CI.jar\r\n\r\nEnquiries&Sample Catalog CME-Trade.jar\r\n\r\nTransaction reciept for reconfirmation.xslx.jar\r\n\r\nP-ORD-C-10156-124658.jar\r\n\r\nProforma Invoice…jar\r\n\r\nTT APPLICATION COPY FORM.jar\r\n\r\nDec..PO.jar\r\n\r\nCredit_Status_0964093_docx.jar\r\n\r\n \r\n\r\nشبکه گستر به نقل از شرکت امنیتی McAfee، در حال حاضر گونه های مختلفی از Adwind در حال انتشار هستند. این بدافزار به محض اجرا شدن، خود را در مسیر زیر کپی می کند:\r\n\r\n\r\n \r\n\r\n%AppData%\\[random folder name]\\[random file name].jar\r\n\r\n \r\n\r\nبرخی گونه های این بدافزار، فایل را با پسوندی تصادفی در مسیر مذکور ایجاد می کنند.\r\n\r\n \r\n\r\nدر ادامه Adwind با اجرای فرمان attrib، پوشه و فایل ایجاد شده را در حالت مخفی و فقط خواندنی قرار می دهد.\r\n\r\n \r\n\r\n\r\n\r\n\r\n \r\n\r\n\r\n\r\n \r\n\r\n\r\n\r\n \r\n\r\n \r\n\r\nدر نهایت بدافزار فایل را اجرا کرده و کلید زیر را در Registry ایجاد می کند.\r\n\r\n \r\n\r\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] "[random value name”=”[Java Runtime Environment directory]\\jawaw.exe” – jar "%AppData%\\[random folder name]\\[random filename].jar”\r\n\r\n \r\n\r\nهدف از ایجاد این کلید، اجرای خودکار فایل بدافزار با هر بار راه اندازی سیستم است. نویسندگان Adwind، برای مخفی ساختن عملکرد بدافزار از دید تحلیلگران و مهندسان بدافزار، بخش اصلی فایل اجرایی و فایل حاوی تنظیمات آن را با یکی از الگوریتم های DES،و RC4 و یا RC6 رمزنگاری می کنند. این بدافزار در حین نصب خود را رمزگشایی می کند.\r\n\r\n \r\n\r\nبسته به افزایه های استفاده شده در هر گونه، Adwind نفوذگر را قادر به اجرای برخی یا تمامی فرامین زیر می کند:\r\n\r\n \r\n\r\nتصویربرداری از صفحه\r\n\r\nدانلود فایل های دیگر و اجرای آنها\r\n\r\nتغییر و حذف برخی فایل ها\r\n\r\nبرگرداندن برخی فایل های بر روی دستگاه قربانی\r\n\r\nثبت کلیدهای فشرده شده توسط کاربر\r\n\r\nدسترسی به به دوربین دستگاه\r\n\r\nکنترل موشواره و صفحه کلید کاربر\r\n\r\nبه روز رسانی خود\r\n\r\n ","content_html":"
\n

عناوین این هرزنامه ها متفاوت بوده و دائماً در حال تغییر هستند.<\/span><\/h2>\n<\/div>\n\n
\n
 Adwind بدافزاری از نوع درب پشتی (Backdoor) است که بسترهایی را که از فایل های Java پشتیبانی می کنند هدف قرار می دهد.<\/div>\n\n
 <\/div>\n\n
بعد از اجرا شدن فایل مخرب JAR، بدافزار خود را بی سروصدا نصب کرده و از طریق یک درگاه از پیش تعیین شده با نفوذگر ارتباط از راه دور برقرار می کند. بدافزار Adwind از طریق هرزنامه ها منتشر می شود. برای مثال، در نمونه زیر، فایل مخرب JAR در یک فایل MS Word جاسازی شده است.<\/div>\n\n
 <\/div>\n\n
با باز شدن فایل DOC توسط کاربر، کد مخرب اجرا و درب پشتی بر روی دستگاه نصب می شود.<\/span><\/div>\n\n
 <\/div>\n\n
\"بدافزار<\/div>\n\n
 <\/div>\n\n
در نمونه ای دیگر، فایل JAR در کنار یک فایل PDF به ایمیل پیوست شده است.<\/div>\n\n
 <\/div>\n\n
\"بدافزار<\/div>\n\n
 <\/div>\n\n
عناوین این هرزنامه ها متفاوت بوده و دائماً در حال تغییر هستند. برخی عناوین استفاده شده بشرح زیر می باشد:<\/div>\n\n
 <\/div>\n\n
***SPAM*** Re: Payment\/TR COPY-Urgent<\/div>\n\n
credit note for outstanding payment of Invoice<\/div>\n\n
Fwd: \/\/Top Urgent\/\/ COPY DOCS<\/div>\n\n
Re:Re: Re:Re:Re TT copy & PIs with Amendments very urgent…<\/div>\n\n
PO#939423<\/div>\n\n
Western Union Transaction<\/div>\n\n
 <\/div>\n\n
به همین ترتیب نام فایل های مخرب JAR نیز متغیر هستند. تعدادی از نمونه های مشاهده شده عبارتند از:<\/div>\n\n
 <\/div>\n\n
Shipment_copies (2).jar<\/div>\n\n
FUD FIle.jar<\/div>\n\n
PO 8324979(1).jar<\/div>\n\n
Shipping Documents.jar<\/div>\n\n
Telex Copy.jar<\/div>\n\n
INSTRUCTIONCZ121.jar<\/div>\n\n
Order939423.jar<\/div>\n\n
Payment TT COPY.jar<\/div>\n\n
SCAN_DRAFT COPY BL,PL,CI.jar<\/div>\n\n
Enquiries&Sample Catalog CME-Trade.jar<\/div>\n\n
Transaction reciept for reconfirmation.xslx.jar<\/div>\n\n
P-ORD-C-10156-124658.jar<\/div>\n\n
Proforma Invoice…jar<\/div>\n\n
TT APPLICATION COPY FORM.jar<\/div>\n\n
Dec..PO.jar<\/div>\n\n
Credit_Status_0964093_docx.jar<\/div>\n\n
 <\/div>\n\n
شبکه گستر به نقل از شرکت امنیتی McAfee، در حال حاضر گونه های مختلفی از Adwind در حال انتشار هستند. این بدافزار به محض اجرا شدن، خود را در مسیر زیر کپی می کند:<\/div>\n\n
\n
 <\/div>\n\n
%AppData%\\[random folder name]\\[random file name].jar<\/div>\n\n
 <\/div>\n\n
برخی گونه های این بدافزار، فایل را با پسوندی تصادفی در مسیر مذکور ایجاد می کنند.<\/div>\n\n
 <\/div>\n\n
در ادامه Adwind با اجرای فرمان attrib، پوشه و فایل ایجاد شده را در حالت مخفی و فقط خواندنی قرار می دهد.<\/div>\n\n
 <\/div>\n<\/div>\n\n
\"بدافزار<\/div>\n\n
 <\/div>\n\n
\"بدافزار<\/div>\n\n
 <\/div>\n\n
\"بدافزار<\/div>\n\n
 <\/div>\n\n
 <\/div>\n\n
در نهایت بدافزار فایل را اجرا کرده و کلید زیر را در Registry ایجاد می کند.<\/div>\n\n
 <\/div>\n\n
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] \"[random value name”=”[Java Runtime Environment directory]\\jawaw.exe” – jar \"%AppData%\\[random folder name]\\[random filename].jar”<\/div>\n\n
 <\/div>\n\n
هدف از ایجاد این کلید، اجرای خودکار فایل بدافزار با هر بار راه اندازی سیستم است. نویسندگان Adwind، برای مخفی ساختن عملکرد بدافزار از دید تحلیلگران و مهندسان بدافزار، بخش اصلی فایل اجرایی و فایل حاوی تنظیمات آن را با یکی از الگوریتم های DES،و RC4 و یا RC6 رمزنگاری می کنند. این بدافزار در حین نصب خود را رمزگشایی می کند.<\/div>\n\n
 <\/div>\n\n
بسته به افزایه های استفاده شده در هر گونه، Adwind نفوذگر را قادر به اجرای برخی یا تمامی فرامین زیر می کند:<\/div>\n\n
 <\/div>\n\n
تصویربرداری از صفحه<\/div>\n\n
دانلود فایل های دیگر و اجرای آنها<\/div>\n\n
تغییر و حذف برخی فایل ها<\/div>\n\n
برگرداندن برخی فایل های بر روی دستگاه قربانی<\/div>\n\n
ثبت کلیدهای فشرده شده توسط کاربر<\/div>\n\n
دسترسی به به دوربین دستگاه<\/div>\n\n
کنترل موشواره و صفحه کلید کاربر<\/div>\n\n
به روز رسانی خود<\/div>\n\n
 <\/div>\n<\/div>","content_source":"","content_url":"","content_date_start":"2015-12-24 17:14:06","content_date_event":"2015-12-24 17:14:06","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2015-12-24 17:16:00","content_date_register":"2015-12-24 17:16:00","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201512\/21926_3323969920_150_84.webp","300":".\/cache\/184\/attach\/201512\/21926_3323969920_300_169.webp","400":".\/cache\/184\/attach\/201512\/21926_3323969920_400_225.webp","600":".\/cache\/184\/attach\/201512\/21926_3323969920_600_337.webp","900":".\/cache\/184\/attach\/201512\/21926_3323969920_601_338.webp","1200":".\/cache\/184\/attach\/201512\/21926_3323969920_601_338.webp"},"ext":"jpg","file_media":1,"token":3323969920,"files":{"original":{"url":".\/file\/184\/attach\/201512\/21926_3323969920.jpg","width":601,"height":338,"size":0}}}]}]]