درباره تروجانی که با موضوع اسیدپاشی کامپیوترها رو آلوده کرده بود، چند روز پیش نوشته بودم. حالا دوست عزیزی به نام پارسا شایگان تروجان مورد نظر رو بررسی کرده و نتیجه رو برام فرستاده که اینجا منتشر میکنم. نتایج این بررسیها نشون میده که این تروجان به صورت کاملاً حرفهای و برای مقاصد خاص نوشته شده. هدف به طور دقیق مخاطبان و علاقمندان و دنبالکنندگان اخبار اجتماعی ایران بوده. در واقع نویسنده قصد داشته تمام گذرواژههای این افراد رو بدزده و ازشون سوءاستفاده کنه. اگر علاقمندید که بدونید این تروجان چطور کار میکنه این متن رو بخونید:
فایل asid.rar که به ایمیل ضمیمه شده بود، شامل فایلی است به نام asid.exe. این فایل، یک فایل فشردهشده است که حاوی دو فایل دیگر به نامهای زیر است:
winzip.exe
asid.docx
در تصویر پایین میبینید که بعد از اجرای فایل asid.exe ابتدا فایل asid.docx اجرا میشود که یک فایل متنی است. فایل متنی که احتمالاً از روی وبلاگهایی کپی شده که درباره ماجرای قصاص اسیدپاشی نوشته بودند.
بعد از اجرای این فایل متنی، فایل winzip.exe اجرا میشود. این فایل بسته به نوع سیستمعامل، فولدرها و فایلهای زیر را ایجاد میکند:
۱- در ویندوزهای دسته اول یعنی ۹۸ یا XP در مسیر C:\Programfiles\CommonFiles فولدری با نام VMConvert32 ایجاد میکند.
۲- در ویندوزهای دسته دوم یعنی ۲۰۰۸، ویستا یا هفت (سون) در مسیر AppData\Roaming فولدری بانام VMConvert32 ایجاد میکند.
در این فولدر فایلهای زیر دیده میشود:
- فایل wmccds.exe فایل اجرایی تروجان است.
- فایل wmccds.ini تنظیمات تروجان را شامل میشود.
- فایل wmccds.dat اطلاعات ذخیرهشده را در خود نگهداری میکند.
همچنین بعد از اجرای winzip.exe علاوه بر فولدرهای بالا در رجیستری کلیدی ایجاد میشود تا برنامه را به این صورت اجرا کند:
خب حالا به بخش جالب ماجرا میرسیم. بعد از یک بار ریاستارت کامپیوتر برنامه همراه explorer.exe در ویندوزهای دسته اول و به صورت یک پروسس مجزا در ویندوزهای دسته دوم اجرا میشود. بعد از راهاندازی ویندوز، تروجان شروع به کار کرده و تمامی اطلاعاتی را که در کلیپبرد وارد میکنید (همان جای موقتی که نوشتهها را بعد از کپی در خود نگه میدارد تا آن را در جایی که میخواهید پیست کنید) و برنامههای اجرا شده در سیستم و هر کلیدی را که فشار میدهید، در فایل wmccds.dat ذخیره کرده و به محض اتصال به اینترنت، فایل گزارشی با نام temp997.htm ایجاد کرده و برای آدرس تعریف شده در تروجان (مثلاً ایمیل یا سرور نویسنده این تروجان) ارسال میکند.
توجه داشته باشید که این تروجان تمام اطلاعات و گذرواژههای ذخیرهشده در مرورگرهای اینترنت اکسپلورر، فایرفاکس و اپرا را هم استخراج کرده و آنها را هم ارسال میکند. دراین برنامه همچنین امکانی تعریف شده تا بتواند با اتصال به سروری که در دل برنامه تعریف شده، برنامههای دیگری را روی سیستم دانلود و اجرا کند.
این برنامه به از طریق ایمیل و فلش مموری تکثیر میشود. این هم نمونهای از متن ارسالی توسط این برنامه:
Thousands of endangered penguins have been coated with oil after a cargo ship ran aground and broke up on a remote British South Atlantic territory, officials and conservationists said Tuesday.The shipwreck also threatens the lobster fishery that provides a livelihood to one of the worlds most isolated communities. The Malta-registered MS Olivia was grounded on Nightingale Island in the Tristan da Cunhachain last week. The ship had been traveling from Brazil to Singapore and contained 1,500 metric tons (1,650 tons) of crude oil and a cargo of 60,000 metric tons (66,000 tons) of soya beans.
فایل پیوست این ایمیل با نام main937.exe ارسال میشود. برای پاکسازی کافیست فولدرهای برنامه را به صورت کامل پاک کنید. این تروجان تا الان به ۶ تا از پژوهشگاههای و آزمایشگاههای ویروسشناسی گزارش داده شده. احتمالاً تا دو سه روز آینده تمام ویروسکشها اون رو شناسایی خواهند کرد.