This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

W32/VBNA-X ينتشر بسرعة من خلال الشبكات والوسائط القابلة للإزالة

Filed Under: Botnet, Featured, Malware, SophosLabs, Windows

INF icon الباحثون قد لاحظوا SophosLabs زيادة كبيرة في انتشار البرامج الضارة نسميه W32/VBNA-X (بين أسماء أخرى).

وقد تم العديد من الشركات الأخرى، بما في ذلك مكافي (W32/Autorun.worm.aaeb) و Symantec (W32.ChangeUp)، وتنبيه عملائها أيضا. في حين أن المكونات الأساسية لهذه البرامج الضارة قد حول لبعض الوقت، فقد أصبح أكثر عدوانية إلى حد كبير في التكرار الأخير.

عدوى

W32/VBNA-X هي دودة، ولكن أيضا يسلك خصائص التي توجد عادة في طروادة. منهجه الأكثر وضوحا لنشر ويبدو أن من خلال استخدام ملفات autorun.inf التي ألقيت على الوسائط القابلة للإزالة وشبكة سهم قابل للكتابة.

وكنت آمل أن يكون هذا الأسلوب لن يكون فعالا جدا على أجهزة الكمبيوتر اليوم، وإن كان. أصدرت Microsoft تحديثات لXP، 2003 وفيستا في فبراير 2011 إلى تعطيل التشغيل التلقائي على جميع وسائل الإعلام جانبا من "أقراص لامعة".

فإنه لا يزال ليست فكرة سيئة لتعطيل التشغيل التلقائي / القراءة التلقائية أكثر تماما، والتي من السهل جدا القيام به وفقا لمايكروسوفت تعليمات ، والتي تشمل "FIXIT".

معظم أجهزة الكمبيوتر سيتم تجاهل ملفات Autorun.inf في هذه الأيام، يجب أن الناس حتى النقر على البرمجيات الخبيثة نفسها، ولكن لماذا؟

يبدو أن مزيج من الهندسة الاجتماعية الذكية، الإعدادات الافتراضية الفقراء وإهمال المستخدم.

بعد إنشاء ملف autorun.inf لضحايا لم يتم إصلاحها، فإنه يبدأ في تعداد كافة أسماء الملفات والمجلدات على أسهم قابلة للكتابة والأجهزة القابلة للإزالة.

على سبيل المثال، يقول E الخاص بك: محرك الأقراص مشاركة شبكة اتصال مع الاتحاد الافريقي والمجلدات المسماة ص والملفات المسماة as.txt وAdobe.pdf.

فإنه سيتم تعيين جميع تلك العناصر لديها السمة المخفية وتعيين مفتاح التسجيل لضمان عدم عرض الملفات المخفية.

ثم فإنه سيتم إنشاء نسخ من نفسه دعا Porn.exe، Sexy.exe، وPasswords.exe Secret.exe بالإضافة إلى إنشاء نسخة من نفسها لكل ملف المشروعة والحاضر مجلد على وحدة التخزين.

فإن التكرارات من المجلدات والملفات الأصلية رموزها لتعيين رمز المجلد القياسية في ويندوز 7.

لقطة من مشاركة الملف المصاب

نتيجة

في هذه الصورة تستطيع أن ترى في المجلدات الأصلية تظهر في أعلى ويندوز XP الرموز وتلك المستنسخة / Trojaned مع الرموز ويندوز 7 للأسفل.

البرامج الضارة يبدو أن نفترض أن كنت لا تظهر ملحقات، والذي هو الافتراضي في كافة إصدارات من ويندوز.

Infected file share with extensions and hidden files shown أستطيع أن أرى كيف يمكن للناس بسهولة التصفح مشاركات الملفات والأقراص USB يمكن انقر فوق المجلد بطريق الخطأ خطأ، خاصة إذا تم تعيين المجلدات المخفية حقيقية ل.

إذا كنا إظهار ملحقات وعرض جميع الملفات المخفية نرى صورة مختلفة جدا.

بالإضافة إلى الملفات الأصلية والمحتالين وهناك من دعا أيضا على ملفات exe و.. ... EXE. وكما هو معروف البرمجيات الخبيثة إلى كتابة ملف بايت صفر دعا x.mpeg، على الرغم من أنه لم يفعل ذلك في هذه الحالة اختبار.

نسخ البرامج الضارة نفسها إلى الملف الشخصي للمستخدم باستخدام اسم ملف عشوائي ويضيف مفتاح التسجيل لبدء البرامج الضارة على التمهيد.

ومن المعروف أن بعض المتغيرات لتعطيل تحديث ويندوز لمنع الضحية من تلقي تعليمات التصحيح أو المحدثة التي قد تعطيله.

W32/VBNA-X أيضا متعدد الأشكال وبالتالي فإن اختبارية SHA1 تختلف عن بعض من الملفات:

 30582368427f752b7b6da4485db456de915101b2 SHA1 لPorn.exe
7ff75f92c5461cc221cb3ab914592bd2a5db6e15 SHA1 لSexy.exe
d71a89c085ffbb62f4e222fb2f42d7e2271e4642 SHA1 من جميع بقية 

مفاتيح التسجيل التي تم إنشاؤها:

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun%random% %UserProfile%%random% /%randomletter% - للاستمرار

HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU NoAutoUpdate = 1 - لتعطيل التحديثات

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden = 0 - ضمان البقاء العناصر المخفية مخفية 

كنت مصابة، ما يحدث الآن؟

هذه العينات اتباع إجراءات التشغيل القياسية لالخبيثة الحديثة. بمجرد تحميلها على اتصالات W32/VBNA-X القيادة والسيطرة (C & C) لتلقي التعليمات خادم للحمولات أخرى لتحميل.

البرمجيات الخبيثة يحاول الاتصال C & جيم على المنفذ 9003 باستخدام HTTP، على الرغم من وذكرت مكافي رؤية عينات الاتصال منفذ 9004 أيضا.

يتم استضافتها العديد من الأسماء DNS في #. DDNS الفضاء مجال الاتحاد الأوروبي، ولكن القائمة بأكملها واسع جدا. قد الإداريين الذين يرغبون في مراقبة للعدوى ترغب في مراقبة سجلات جدار الحماية الخاصة بهم للاتصالات إلى الموانئ 900 [0-9].

مرة واحدة يتم الاتصال الملقم C & C أمر ويتم تمرير URL عودة إلى البرمجيات الخبيثة تعليمات لتحميل حمولة اسمه google.exe التي وضعت في الدليل الشخصي للمستخدمين.

الحالات التى تم التحقيق فيها تحميل حصان طروادة المصرفية تعود لعائلة زيوس / Zbot، ولكن يمكن في كثير من الأحيان تغيير يعتمد على الوقت من اليوم أو منطقة جغرافية معينة.

النصيحة

وبصرف النظر عن حفظ مكافحة الفيروسات محدثا هناك عدة أشياء يمكنك القيام به، ويمكن مشاهدة ل.

  • تم تعطيل التشغيل التلقائي تماما ضمان على جميع أنظمة التشغيل ويندوز.

  • تأكد من تكوين المعيار الخاص بك ويندوز والصور نهج المجموعة لاظهار امتدادات الملفات والملفات المخفية.
  • تقييد أذونات الكتابة إلى ملف الأسهم للسماح بالوصول حيث الضرورة القصوى فقط
  • منع كافة الاتصالات الصادرة إلى منافذ غير معروفة والخدمات على بوابة وجدران الحماية الخاصة بك العميل.
  • ضمان تمكين تكنولوجيات الكشف السلوكية في منتجات مكافحة الفيروسات الخاص بك للكشف عن مخططات استمرار إضافة البرمجيات الخبيثة والعبث تحديث وإعدادات مكافحة الفيروسات.
سوفوس لمكافحة الفيروسات على جميع المنابر يكتشف ويمنع مختلف مكونات هذه البرامج الضارة على النحو التالي:

* W32/VBNA-X: الكشف النوعي عن هذه الدودة (المتغيرات تشمل W32/VBNA-U، W32/VBNA-Z، W32-AA-VBNA وW32/VBNA-AB)
* المال / SillyFDC-Z المكتشفة دودة لملفات Autorun.inf عام (المتغيرات تشمل المال / اوتورون-AX، W32/SillyFDC-IP وW32/AutoInf-DI)
حمولات طروادة * Troj / Tepfer-E الكشف فيما يتعلق بهذا البرامج الضارة (متغيرات تشمل Troj / VB GFM، W32/SillyFDC-IP والمال / SillyFDC Z-)
* HIPS/RegMod-009 كشف الاستباقي لمنع والتعديلات التسجيل والمثابرة

* سيتم منع العملاء الذين يستخدمون شبكة الإنترنت سوفوس الحماية من الوصول المجالات المعروف أن تتعامل مع هذه البرمجيات الخبيثة

وأود أن أعرب عن شكر خاص للفريق بأكمله وخصوصا فانكوفر SophosLabs مايك وود، زابو بيتر لاو وسافيو لقضاء وقت إضافي حتى الكثير لتقاسم هذه المعلومات مع القراء.


You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.