پس از اینکه خانوادهی بدافزارهای Xpiro مدتی را در خاموشی سپری کردهاند. این بدافزارها این بار با سر و صدای زیاد. و البته قابلیتهای بیشک خطرناکی بازگشتهاند. بدافزار Xpiro بدافزاری مستقل از معماری خاص
در نمونههای قدیمی از این بدافزار. فقط پروندههای ۳۲ بیتی آلوده میشدند. اما اینبار دامنهی فعالیتهای این نمونه از بدافزار گسترش پیدا کرده. و پروندههای ۶۴ بیتی را نیز آلوده میکند.
گسترهی این آلودگی مبتنی بر معماری خاصی نیست. یعنی یک نمونهی ۳۲ بیتی از بدافزار Xpiro میتواند. یک پروندهی اجرایی ۶۴ بیتی را آلوده کند و برعکس. البته این بدافزار قابلیتهای سرقت دادهها از رایانههای قربانی را نیز بهبود بخشید است. و با اضافه کردن افزونههای مرورگرهای فایرفاکس و کروم میتواند بر نشستهای این مرورگرها نظارت داشته باشد.
آلودگی مستقل از معماری و ماندگاری بدافزار
اگرچه قبلاً نیز بدافزارهایی مشاهده شدهاند که قابلیت آلودهسازی چندین نوع معماری را داشتهاند، اما هیچیک مانند بدافزار Xpiro به صورت گسترده منتشر نشدهاند. نمونهی جدید این بدافزار قابلیت آلودهسازی معماریهای زیر را دارد:
- Intel 386 (32-bit)
- Intel 64 (64-bit)
- AMD64 (64-bit)
البته لازم به ذکر است که پروندههای Intel64 آلوده میشوند. اما به دلیل خطایی که در کد بدافزار وجود دارد. این آلودگی کامل نیست. و پروندهها فقط دچار تغییر میشوند. و به گزارش سیمنتک این پروندهها را میتوان به حالت اولیه و وضعیت بدون آلودگی تبدیل کرد.
در نمونههای قدیمیتر، معمولاً پروندههای آلودهساز توانایی داشتند. که سایر پروندههای اجرایی را آلوده سازند. و اهمیتی به تداوم گسترش آلودهسازی داده نمیشد. اما این نمونه بدافزار از یک روش دقیق برای رسیدن. به تداوم آلودهسازی و عمل آلودهسازی به طور همزمان استفاده میکند. در ابتدا این بدافزار سعی میکند. تمامی پروندههای خدمات Win32 را بشمارد. و تلاش کنند. تمامی این پروندهها را آلوده سازد. سپس تمامی پروندههای پیوند (lnk) در میز کار کاربر و همچنین پوشههای منوی شروع (Start Menu) هدف آلودهسازی این بدافزار قرار میگیرند.
اما چرا این پروندهها انتخاب میشوند؟ چرا که این پروندهها بیشترین شانس را دارند که توسط کاربر و یا خود سامانه اجرا شوند و در نتیجه با هر بار راهاندازی سامانه احتمال اجرای بدافزار و درنتیجه ماندگاری آن وجود دارد.
در نهایت، تمامی پروندههای اجرایی از درایو C تا درایو Z چه به صورت درایو ثابت و چه به صورت جابهجاپذیر آلوده خواهند شد.
پیشرفتهتر شدن قابلیت سرقت اطلاعات
هدف نهایی این خانواده از بدافزارها از ابتدا سرقت اطلاعات از میزبان آلوده بوده است. این هدف همچنان در نسخهی جدید پابرجاست. و البته برای دستیابی به آن ابزارهایی به بدافزار اضافه شده است.
هنگامی که این بدافزار در رایانهی قربانی اجرا میشود. افزونهای به مرروگرهای کروم و فایرفاکس اضافه میکند. که در مرورگر فایرفاکس به صورت مخفی و در مرورگر کروم به نام «Google Chrome 1.0» میباشد.
به طور مثال افزونهی فایرفاکس میتواند فعالیتهای زیر را انجام دهد:
- پنهانسازی حضور افزونه
- کاهش امنیت مرورگر
- جاسوسی فعالیتهای اینترنتی کاربر
- سرقت رویدادهای ثبتشده
- تغییر مسیر آدرس درخواستی توسط کاربر به یک آدرس از پیش تعریف شده.
پس از نصب افزونه توسط بدافزار. و با راهاندازی مجدد مرورگر فایرفاکس به کاربر اطلاع داده میشود. که یک افزونهی جدید نصب شده است، اما این افزونه در فهرست افزونههای نصبشده پیدا نخواهد شد.
همانطور که گفته شد. این بدافزار میتواند. امنیت مرورگر را نیز تغییر دهد. در تصاویر زیر مشاهده میشود. که بدافزار هشدارهای مرورگر را غیرفعال کرده است. و همچنین قابلیت اعلام به روز رسانیهای موجود برای مرورگر نیز غیرفعال شده است.
جلوگیری از بروزرسانی با ( بدافزار Xpiro بدافزاری مستقل از معماری خاص )
در صورتی که کاربر به صورت دستی نیز تلاش کند که به روز رسانیهای موجود را اعمال کند، این اتفاق عملی نمیشود، چراکه بدافزار Xpiro، آدرس دریافت به روز رسانیهای مرورگر را به ۱۲۷٬۰٬۰٬۱ که یک آدرس محلی است، تغییر میدهد.
با از کار افتادن بسیاری از قابلیتهای هشدار مرورگر توسط این افزونه، کاربر به صورت طبیعی با مشکلات متعددی مواجه خواهد شد. همچنین برخی از ویژگیهای مرور وب ایمن، که از کاربر در مقابل حملات فیشینگ محافظت میکند نیز از کار خواهد افتاد.
Xpiro تمامی فعالیتهای HTTP کاربر در مرورگر را پایش میکند و گزارش همهی این فعالیتها را به یک کارگزار ارسال میکند و سپس اقدام به بارگیری دو فهرست آدرس از این کارگزارها میکند:
- آدرسهای هدف
- آدرسهای تغییر مسیر
اگر کاربر یکی از آدرسهای هدف را در مرورگر وارد کند، بدافزار این آدرس را با آدرسهای تغییر مسیر، تعویض میکند. این آدرسهای تغییر مسیر میتوانند صفحات تبلیغاتی و یا صفحاتی که امکان بارگیری بدافزارهای بیشتر را فراهم میکنند، باشند.
بدافزار Xpiro بدافزاری مستقل از معماری خاص
نتایج بررسی تشخیص بدافزار در وبگاه ویروستوتال به شرح زیر است:
پیوند ویروستوتال | نرخ تشخیص | MD5 | نام پرونده |
پیوند ویروستوتال | ۳۰/۴۵ | b2e70667ddaf5a83d43b8469c984353a | VSSVC.EXE |
پیوند ویروستوتال | ۳۷/۴۷ | 25c1b9f8f03dcc3dca5fff16aa8802d2 | chrome_frame_helper_exe |
Save
منبع : وبگاه فناوری اطلاعات