جاسوس افزار جدید توسط مرکز ماهر در ایران شناسایی شد؛ نحوه شناسایی و راه‌های مقابله

مرکز ماهر از شناسایی یک جاسوس افزار جدید در ایران خبر داد. هدف اصلی این بدافزار، سرقت اطلاعات قربانی است. در ادامه، نحوه شناسایی و راه‌های مقابله با این بدافزار را بررسی می‌کنیم.

بر اساس اعلام مرکز ماهر، این نمونه بدافزاری یک جاسوس افزار است که به تازگی در ایران مشاهده شده و آیکونی شبیه به آیکون مورد استفاده برای نمایش فولدرها در ویندوز دارد. این بدافزار با انتخاب نام e-dadsara قربانیان را به باز کردن پوشه‌ای حاوی اطلاعات الکترونیکی دادسرا دعوت می‌کند، در حالی که آن در واقع یک جاسوس افزار مخفی شده در شکل پوشه است.

به گزارش مرکز ماهر، هدف اصلی این جاسوس افزار ، سرقت اطلاعات قربانی به ویژه اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپ بورد و برنامه‌های اجرا شده است.

شناسایی سیستم‌های آلوده از طریق لاگ‌های شبکه

تمامی سیستم‌هایی از شبکه که با آدرس ftp://files.000webhost.com/public_html/Kl36z0fHjrKlemente602KA1 در ارتباط باشند می‌توانند به این جاسوس افزار جدید آلوده شوند. با توجه به این که ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، باید علائم آلودگی در سیستم‌های میزبان نیز در نظر گرفته شود.

علائم وجود آلودگی در سیستم

چند راه برای بررسی وجود آلودگی در سیستم‌‌های قربانیان وجود دارد که در ادامه به آن‌ها اشاره می‌کنیم:

1. وجود پوشه‌ای در مسیر %AppData%Roaming\Adobe\Flash player\AFCache در سیستم کاربر که در آن فایلی با نام syslog<date>.dat و همچنین یک پوشه دیگر با نام err قرار گرفته باشد.

2. وجود فایلی با مشخصات %AppData%Roaming\Adobe\HostService.exe در سیستم کاربر

3. وجود زیرکلیدی با نام HostService در مسیر رجیستری زیر:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

4. وجود کلید رجیستری در مسیرهای زیر:

HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe

HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe

HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe

چگونه می‌توان سیستم را از این جاسوس افزار پاک‌سازی کرد؟

شما برای پاکسازی سیستم از این جاسوس افزار جدید باید به پردازه HostService.exe در صورتی که در سیستم شما اجرا می‌شد، پایان دهید. همچنین فایل‌ها و کلید رجیستری ایجاد شده که در قسمت قبلی به آن‌ها اشاره شد را حذف کنید.

راه‌های بررسی پاک بودن سیستم

1. عدم وجود مقدار HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService در کلید رجیستری ویندوز

2. نبودن فایل‌هایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی‌ها نیز به آن‌ها اشاره شد.

3. نبود ارتباطات FTP که در فرایند احراز هویت از نام کاربری solmondesigner استفاده شده باشد.

توصیه‌هایی ایمنی برای پیش‌گیری از آلوده شدن به جاسوس افزار

1. از باز کردن مستندات الحاق شده به ایمیل‌های ناشناس خودداری کنید.

2. نرم افزار ضد بدافزار نصب شده بر روی سیستم خود را دائما به‌روز کنید.

3. ویژگی نمایش پسوند فایل‌ها در ویندوز را فعال کنید و در اجرای فایل‌های دارای پسوند exe احتیاط به خرج دهید.