وبلاگ

هشدار برای تروجانی به نام «فال حافظ»

۱۱ مرداد ۱۳۹۰
3 دقیقه زمان خواندن
186 بازدید
دیدگاه

اصلاً دوست ندارم که فضای آنلاین رو بیش از اون چیزی که هست امنیتی نشون بدم. اما واقعیت اینه که آقایون قصد دارند با هر ترفندی که شده به حریم خصوصی برخی تجاوز کنند. بلکه بتونن اطلاعات بیشتری از زندگی خصوصی شما و دوستانتون به دست بیارن.

حتماْ یادتون هست که چند وقت پیش اشاره‌ای کردم به تروجانی به نام «اسید» که با سوءاستفاده از خبر مربوط به اسیدپاشی تلاش داشت تا ایمیل‌هایی رو هک کنه و حتی تونست به ایمیل یکی از دوستانم هم نفوذ کنه. در نوشته‌ای دیگر جزئیات این تروجان رو در این وبلاگ منتشر کردم.

به هر حال نویسنده یا نویسندگان این تروجان هر که باشند، از قرار معلوم همچنان تلاش می‌کنند تا از راه و روش‌های مشابه این کار رو تکرار کنند. ۲۸ ژوئن ایمیلی دریافت کردم که حاوی فایلی به نام roz shoma.rar و به حجم ۴۴۹ کیلوبایت بود. این عمل توسط همون فرستنده اما با یک نام دیگه به اسم ساناز در ۲۶ جولای و در قالب فایل دیگری به نام fale hafez.rar و به حجم ۴۸۰۷ کیلوبایت برایم ارسال شد در حالی که حاوی این پیام بود:

nima salam-narm afzar fale hafez ro ke khaste bodi barat ferestadam salam be sosan bereson-ghorbonet

نیما سلام. نرم‌افزار فال حافظ رو که خواسته بودی برات فرستادم. سلام به سوسن برسون. قربونت.

ایمیلش رو پاسخ دادم و گفنتم: ساناز؟ یادم نمیاد همچین درخواستی کرده باشم که برام نرم‌افزار بفرستی. واقعاْ فکر کردی من از فیشینگ چیزی نمی‌دونم؟ یا مثلا اگه یه آی‌دی دخترونه درست کنی مثل ساناز سبز گول می‌خورم و ایمیلت رو باز می‌کنم؟ اشتباه گرفتی برادر.

در ایمیل بعدی ادعا کرد که من رو با فرد دیگه‌ای اشتباه گرفته و فایل رو اشتباهی فرستاده. در حالی که این ایمیل برای دوستان و همکاران دیگه هم فرستاده شده بود. ده دوازده ساعت قبل همون فایل فال حافظ با یک ایمیل دیگه به نام بیتا برام ارسال شد که توش نوشته بود بیا فالت بگیرم!

شرح ماوقع رو گفتم صرفاً برای این که در جریان قرار بگیرید. اما محتوای این فایل چیه؟

این فایل نسخه تازه تروجان اسید هست با همون مکانیزم عملکرد. فقط یه کم تو کدش دستکاری کردن تا توسط ویروس‌کش‌ها مجدداً شناسایی نشه. کسی که این رو می‌فرسته به سورس این تروجان دسترسی داره و همونیه که نسخه قبلی رو توی نت منتشر کرده.

قسمتی از ایمیلی که ارسال می‌کنه اینه:

uesting, think about parallel experience that you do have. For example, that perfect job posting may request experience in project management; you may never have done that in a formal office setting, but organizing the large charity event you ran last summer will undoubtedly have required a similar skill set.

با یه کم جست‌وجو می‌شه فهمید که این متن بخشی از یک متن آموزشی هست درباره این که چطور می‌شه برای استخدام یک رزومه کاری قوی نوشت. یک نمونه از متن اصلی رو که از روش کپی کردن می‌تونید اینجا ببینید.

نام‌های دیگه‌ای که ابن تروجان خودش رو به اون اسامی ذخیره می‌کنه، اینهاست:

deskhedron.exe
fregop32.exe
regop32.exe
regwop32.exe
compreg.exe
wmccds.exe
main937.exe

 چیز خاص دیگه‌ای باقی نمونده. به جز تشکر از دوست عزیزم پارسا شایگان که زحمت بررسی این فایل بر عهده اون بود و خواهش از شما که هر فایلی رو باز نکنید حتی اگه از طرف دوستتون ارسال شده باشه چون ممکنه اون هم هک شده باشه.

برچسب‌ها

مطالب مرتبط:

اگر این مطلب را پسندیدید، لطفا آن را هم‌رسانی کنید!

هم‌رسانی

3 دیدگاه

  1. سلام. چه شکلی پارسا شایگان تروجان بودن این فایلا متوجه شد؟ مردمم به هر شکلی شده می‌خوان نیما را هک کنند، کور خوندند.
    ممنون

    پاسخ

  2. سلام به ناشناس عزیز
    من چند سال هست که تو لابراتوار های مک آفی و کسپراسکی بعنوان آنالیزور فعال بودم و شاید بشه گفت که تو ایران جزو اولین نفراتی بودم که استاکسنت رو آنالیز کردم و براش آنتی ویروس نوشتم. از لحاظ صحت و سقم این نوشته نیما مطمئن باشید.

    پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *