جستجو
این کادر جستجو را ببندید.
تقویم دسکتاپ 1403

Amn Afzar Rayka

Test
Test
پایگاه دانش

Trojan.Win32.Andromeda

بدافزار Andromeda ماهیت بات دارد که از طریق ارتباط با شبکه و تزریق کد در پردازه‌های سالم سیستم قربانی، می‌تواند فایل‌های مخرب دیگری را دانلود کرده و آنها را اجرا کند و همچنین در حین اجرا اطلاعاتی از سیستم قربانی را سرقت کرده و به سرورهای مشخصی ارسال کند. این بدافزار در‌ واقع یک نمونه بات از مجموعه بدافزار Gamarue می‌باشد.

از علائم آلودگی به این بدافزار، می‌توان به موارد زیر اشاره کرد:

  • پردازه‌ای با نام msiexec.exe در حال اجرا می‌باشد.
  • وجود فایل بدافزار با نام تصادفی و حجمی بیش از 70 مگابایت که به صورت مخفی در مسیرهای زیر می‌باشد:

%SystemDrive%\ProgramData

%AppData%\Roaming

این بدافزار یک بات http_based می‌باشد که بعد از آلوده کردن سیستم، آن را به شبکه بات‌ها متصل می‌نماید. این بدافزار ماژولار می‌باشد و در صورت نیاز اقدام به دانلود کردن ماژول از سرور خود و به‌روزرسانی ماژول‌های خود می‌پردازد.

سایز فایل بدافزار زیاد بوده و از هر نمونه به نمونه دیگر متفاوت است. این بدافزار توانایی تغییر محتوای فایل‌های خود را دارد و حدود 70 مگابایت آن محتوای بی‌مصرف می‌باشد که دائما از نسخه‌ای به نسخه‌ی دیگر در حال تغییر است و فقط 5کیلوبایت محتوای اصلی و مخرب می باشد. بدافزار از این روش جهت مخفی ماندن از دید آنتی‌ویروس ها استفاده می‌کند، از طرفی به دلیل حجم بالا، بدافزار قابل بررسی و شناسایی در سایت‌های آنالیز بدافزار نمی‌باشد.

در ابتدا بدافزار اقدام به غیر فعال‌کردن Windows error notificationها می‌کند. سپس زبان‌های نصب شده روی سیستم قربانی را چک می‌کند. در زیر لیست این زبان‌ها بیان شده است:

  • Ukrainian
  • Belarusian
  • Kazakh
  • Russian

زبان‌های نصب شده بر روی سیستم در قسمت‌های مختلف برنامه چک می‌شود تا یک سری از عملیات خرابکارانه در کشورهایی با زبان‌های روسی، اوکراینی، بلاروسی یا قزاقستانی انجام نگیرد. بدافزار برای به دست آوردن تاریخ و زمان کنونی از Network Time Protocol (NTP) استفاده می‌نماید. برای این کار به سراغ دامنه‌های NTP زیر رفته و زمان را دریافت می‌کند، به این ترتیب که از اولین دامنه ذکر شده در زیر شروع کرده و در صورت ناموفق بودن به تلاش خود با دیگر دامنه‌ها ادامه می‌دهد.

• north-america.pool.ntp.org
• south-america.pool.ntp.org
• asia.pool.ntp.org
• oceania.pool.ntp.org
• africa.pool.ntp.org
• north-america.pool.ntp.org
• pool.ntp.org

برای مقابله و پاک سازی این بدافزار از سیستم ها با تیم امنیت امن افزار رایکا تماس بگیرید

موارد اخیر

برترین ها

اشتراک گذاری این مطلب

اصلاحیه های امنیتی مایکروسافت – ژانویه 2022
29دی

اصلاحیه های امنیتی مایکروسافت – ژانویه 2022

بیشتر بخوانید
هشدار در خصوص آسیب‌پذیری موجود در محصولات CISCO
01بهمن

هشدار در خصوص آسیب‌پذیری موجود در محصولات CISCO

بیشتر بخوانید
هشدار در خصوص آسیب‌پذیری LOG4SHELL در محصولات VMWARE
01بهمن

هشدار در خصوص آسیب‌پذیری LOG4SHELL در محصولات VMWARE

بیشتر بخوانید
سه آسیب‌پذیری بحرانی در نرم‌افزار IOS XE سیسکو
01بهمن

سه آسیب‌پذیری بحرانی در نرم‌افزار IOS XE سیسکو

بیشتر بخوانید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Set your categories menu in Header builder -> Mobile -> Mobile menu element -> Show/Hide -> Choose menu
سبد خرید
بستن