چاپ

اخبار ویژه - به گزارش گرداب ، به نقل از پژوهشگران Yoroi، در ایمیل‌ها از پیوست‌هایی استفاده شده که محتوای آن‌ها یک فایل جاوااسکریپت است. این فایل پس از اجرا مولفه‌های مخرب دیگری را دریافت و سیستم قربانی را آلوده می‌کند.
فایل جاوااسکریپت در ابتدا شروع به ایجاد ترافیک زیادی می‌کند تا شناسایی زیرساخت مخرب را دشوار کند. این کار از طریق ایجاد مجموعه‌ای از URLهای تصادفی و اتصال ناموفق به آن‌ها انجام می‌شود که منجر به تولید حجم ترافیک بالا در محیط‌های تحلیل می‌شود.
بدافزار در مرحله دوم فرایندهای مخرب خود از فایل ppc.cab استفاده می‌کند که این فایل در مرحله اول در مسیر %APPDATA%\Roaming قرار داده شده است. درون این فایل یک فایل اجرایی با نام puk.exe وجود دارد. این فایل از فرایندهای پردازشی مرورگر اینترنت اکسپلورر استفاده می‌کند تا فعالیت شبکه خود را مخفی کند.
بدافزار در مرحله سوم فعالیت‌هایی را انجام می‌دهد تا پایداری خود را در سیستم حفظ کند و برای مدت بیشتری در سیستم قربانی بماند. این کار با تعیین کلیدهای رجیستری انجام می‌شود.
نشانه‌های آلودگی (IoC):
آدرس دریافت ppc.cab:
• hxxp:// groupschina.]com/tss/ppc.cab
سرورهای C&C:
• 149,129.129.1
• 47,74.131.146
• 176,9.118.142
• grwdesign[.com
• rest.relonter[.at
• web2003.uni[.net
• web2341.uni5[.net
• in.ledalco[.at
• int.nokoguard[.at
• io.ledalco[.at
• rest.relonter[.at
• apt.melotor[.at
• torafy[.cn
هش‌ها:
• 81798ea125359ca4e618a5619cd856f95f3fb809f5f3022a42563bd3b627f2ca - puk.exe
• 076a2fea06c3605927bd0d3acc4ed11db3c36a829aced06081c2e3ac9971f347 -35623802.bat
• f2cd58860b6085b63634980a641ebcd9b4148982d681cad88f00b08b341c7bc1 - ppc.cab
منبع: افتا