هشدار برای تروجانی به نام «فال حافظ»

اصلاً دوست ندارم که فضای آنلاین رو بیش از اون چیزی که هست امنیتی نشون بدم. اما واقعیت اینه که آقایون قصد دارند با هر ترفندی که شده به حریم خصوصی برخی تجاوز کنند. بلکه بتونن اطلاعات بیشتری از زندگی خصوصی شما و دوستانتون به دست بیارن.

حتماْ یادتون هست که چند وقت پیش اشاره‌ای کردم به تروجانی به نام «اسید» که با سوءاستفاده از خبر مربوط به اسیدپاشی تلاش داشت تا ایمیل‌هایی رو هک کنه و حتی تونست به ایمیل یکی از دوستانم هم نفوذ کنه. در نوشته‌ای دیگر جزئیات این تروجان رو در این وبلاگ منتشر کردم.

به هر حال نویسنده یا نویسندگان این تروجان هر که باشند، از قرار معلوم همچنان تلاش می‌کنند تا از راه و روش‌های مشابه این کار رو تکرار کنند. ۲۸ ژوئن ایمیلی دریافت کردم که جاوی فایلی به نام roz shoma.rar و به حجم ۴۴۹ کیلوبایت بود. این عمل توسط همون فرستنده اما با یک نام دیگه به اسم ساناز در ۲۶ جولای و در قالب فایل دیگری به نام fale hafez.rar و به حجم ۴۸۰۷ کیلوبایت برایم ارسال شد در حالی که حاوی این پیام بود:

نیما سلام. نرم‌افزار فال حافظ رو که خواسته بودی برات فرستادم. سلام به سوسن برسون. قربونت.

ایمیلش رو پاسخ دادم و گفنتم: ساناز؟ یادم نمیاد همچین درخواستی کرده باشم که بران نرم‌افزار بفرستی. واقعاْ فکر کردی من از فیشینگ چیزی نمی‌دونم؟ یا مثلا اگه یه آی‌دی دخترونه درست کنی مثل ساناز سبز گول می‌خورم و ایمیلت رو باز می‌کنم؟ اشتباه گرفتی برادر.

در ایمیل بعدی ادعا کرد که من رو با فرد دیگه‌ای اشتباه گرفته و فایل رو اشتباهی فرستاده. در حالی که این ایمیل برای دوستان و همکاران دیگه هم فرستاده شده بود. ده دوازده ساعت قبل همون فابل فال حافظ با یک ایمیل دیگه به نام بیتا برام ارسال شد که توش نوشته بود بیا فالت بگیرم!

شرح ماوقع رو گفتم صرفاً برای این که در جریان قرار بگیرید. اما مجتوای این فایل چیه؟

این فایل نسخه تازه تروجان اسید هست با همون مکانیزم عملکرد. فقط یه کم تو کدش دستکاری کردن تا توسط ویروس‌کش‌ها مجدداً شناسایی نشه. کسی که این رو می‌فرسته به سورس این تروجان دسترسی داره و همونیه که نسخه قبلی رو توی نت منتشر کرده.

قسمتی از ایمیلی که ارسال می‌کنه اینه:

uesting, think about parallel experience that you do have. For example, that perfect job posting may request experience in project management; you may never have done that in a formal office setting, but organizing the large charity event you ran last summer will undoubtedly have required a similar skill set.

با یه کم جسن‌وجو می‌شه فهمید که این متن بخشی از یک متن آموزشی هست درباره این که چطور می‌شه برای استخدام یک رزومه کاری قوی نوشت. یک نمونه از متن اصلی رو که از روش کپی کردن می‌تونید اینجا ببینید.

نام‌های دیگه‌ای که ابن تروجان خودش رو به اون اسامی ذخیره می‌کنه، اینهاست:

deskhedron.exe
fregop32.exe
regop32.exe
regwop32.exe
compreg.exe
wmccds.exe
main937.exe

 چیز خاص دیگه‌ای باقی نمونده. به جز تشکر از دوست عزیزم پارسا شایگان که زحمت بررسی این فایل بر عهده اون بود و خواهش از شما که هر فایلی رو باز نکنید حتی اگه از طرف دوستتون ارسال شده باشه چون ممکنه اون هم هک شده باشه.

مطالب مشابه

• بررسی تروجان ایرانی اسید
• مراقب ایمیل با عنوان «اسیدپاشی» باشید
• هکر اسپیس، کارگاه‌های ویژه هک