هشدار برای تروجانی به نام «فال حافظ»

اصلاً دوست ندارم که فضای آنلاین رو بیش از اون چیزی که هست امنیتی نشون بدم. اما واقعیت اینه که آقایون قصد دارند با هر ترفندی که شده به حریم خصوصی برخی تجاوز کنند. بلکه بتونن اطلاعات بیشتری از زندگی خصوصی شما و دوستانتون به دست بیارن.

حتماْ یادتون هست که چند وقت پیش اشاره‌ای کردم به تروجانی به نام «اسید» که با سوءاستفاده از خبر مربوط به اسیدپاشی تلاش داشت تا ایمیل‌هایی رو هک کنه و حتی تونست به ایمیل یکی از دوستانم هم نفوذ کنه. در نوشته‌ای دیگر جزئیات این تروجان رو در این وبلاگ منتشر کردم.

به هر حال نویسنده یا نویسندگان این تروجان هر که باشند، از قرار معلوم همچنان تلاش می‌کنند تا از راه و روش‌های مشابه این کار رو تکرار کنند. ۲۸ ژوئن ایمیلی دریافت کردم که حاوی فایلی به نام roz shoma.rar و به حجم ۴۴۹ کیلوبایت بود. این عمل توسط همون فرستنده اما با یک نام دیگه به اسم ساناز در ۲۶ جولای و در قالب فایل دیگری به نام fale hafez.rar و به حجم ۴۸۰۷ کیلوبایت برایم ارسال شد در حالی که حاوی این پیام بود:

ادامه

گوگل‌جا، سرویسی برای مشتری‌مداری

یکی از خدمات گوگل که به تازگی راه افتاده، «گوگل جا» یا Google Place هست. خلاصه کاری که ایم سرویس انجام می‌ده اینه که از شما درخواست می‌کنه تا درباره جاهایی که رفتید، اظهار نظر کنید. بهشون امتیاز بدید و یک چند خطی درباره‌شون بنویسید.

در چند سال اخیر هر وقت که می‌خواستم هتلی رو برای مسافرتم رزرو کنم، سری به سایت تریپ ادوایزر می‌زدم. هنوز هم این کار رو انجام می‌دم تا ببینم کسانی که از یک هتل، هاستل یا محل اقامی استفاده کردند، چه نظری درباره‌ش داشتند. اون وقت متوجه می‌شم که مثلاً فلان هتل چهارستاره در استانبول، کارکنان بی‌ادبی داره یا هفته پیش، کولر اتاق شماره ۳۰۵ خراب بوده و هتل نه تعمیرش کرده و نه اتاق مسافر رو عوض کرده. این طوری می‌شه تصمیم بگیرم که پولی که دارم خرج می‌کنم حروم نمی‌شه. این فرهنگیه که ما از اون به عنوان «تکریم ارباب رجوع» یا «مشتری‌مداری» در ایران نام می‌بریم اما کمتر بهش عمل می‌کنیم. بگذریم…

گوگل سال‌هاست داره داده جمع می‌کنه. همیشه هم سعی کرده که این داده‌ها رو تبدیل به اطلاعات ارزشمند کنه. تقریباً تمام این اطلاعات رو ما کاربران تولید می‌کنیم. گوگل سعی می‌کنه تا این اطلاعات رو به شکل قابل مصرف در بیاره و ارزششون رو مضاعف کنه و دوباره بهمون عرضه کنه. جریان «گوگل جا» هم همینه. رستوران، سینما، موزه، دانشگاه، گل‌فروشی، بقالی و خلاصه همه جا رو می‌شه توی این سرویس بررسی کرد. از طرفی دوستاتون رو هم می‌تونید در این سرویس اضافه کنید تا به هم کمک بیشتری کرده باشید. حدس من اینه که این سرویس یه جورهایی به سرویس جست‌وجوی اجتماعی گوگل که چندی پیش راه افتاد متصل بشه.

ادامه

بررسی تروجان ایرانی اسید

درباره تروجانی که با موضوع اسیدپاشی کامپیوترها رو آلوده کرده بود، چند روز پیش نوشته بودم. حالا دوست عزیزی به نام پارسا شایگان تروجان مورد نظر رو بررسی کرده و نتیجه رو برام فرستاده که اینجا منتشر می‌کنم. نتایج این بررسی‌ها نشون می‌ده که این تروجان به صورت کاملاً حرفه‌ای و برای مقاصد خاص نوشته شده. هدف به طور دقیق مخاطبان و علاقمندان و دنبال‌کنندگان اخبار اجتماعی ایران بوده. در واقع نویسنده قصد داشته تمام گذرواژه‌های این افراد رو بدزده و ازشون سوءاستفاده کنه. اگر علاقمندید که بدونید این تروجان چطور کار می‌کنه این متن رو بخونید:

فایل asid.rar که به ایمیل ضمیمه شده بود، شامل فایلی است به نام asid.exe. این فایل، یک فایل فشرده‌شده است که حاوی دو فایل دیگر به نام‌های زیر است:

winzip.exe

asid.docx

در تصویر پایین می‌بینید که بعد از اجرای فایل asid.exe ابتدا فایل asid.docx اجرا می‌شود که یک فایل متنی است. فایل متنی که احتمالاً از روی وبلاگ‌هایی کپی شده که درباره ماجرای قصاص اسیدپاشی نوشته بودند.

بعد از اجرای این فایل متنی، فایل winzip.exe اجرا می‌شود. این فایل بسته به نوع سیستم‌عامل، فولدرها و فایل‌های زیر را ایجاد می‌کند:

۱- در ویندوزهای دسته اول یعنی ۹۸ یا XP در مسیر C:\Programfiles\CommonFiles فولدری با نام VMConvert32 ایجاد می‌کند.

۲- در ویندوزهای دسته دوم یعنی ۲۰۰۸، ویستا یا هفت (سون) در مسیر AppData\Roaming فولدری بانام VMConvert32  ایجاد می‌کند.

در این فولدر فایل‌های زیر دیده می‌شود:

  • فایل wmccds.exe فایل اجرایی تروجان است.
  • فایل wmccds.ini تنظیمات تروجان را شامل می‌شود.
  • فایل wmccds.dat اطلاعات ذخیره‌شده را در خود نگهداری می‌کند.

همچنین بعد از اجرای winzip.exe علاوه بر فولدرهای بالا در رجیستری کلیدی ایجاد می‌شود تا برنامه را به این صورت اجرا کند:

خب حالا به بخش جالب ماجرا می‌رسیم. بعد از یک بار ری‌استارت کامپیوتر برنامه همراه explorer.exe در ویندوزهای دسته اول و به صورت یک پروسس مجزا در ویندوزهای دسته دوم اجرا می‌شود. بعد از راه‌اندازی ویندوز، تروجان شروع به کار کرده و تمامی اطلاعاتی را که در کلیپ‌برد وارد می‌کنید (همان جای موقتی که نوشته‌ها را بعد از کپی در خود نگه می‌دارد تا آن را در جایی که می‌خواهید پیست کنید) و برنامه‌های اجرا شده در سیستم و هر کلیدی را که فشار می‌دهید، در فایل wmccds.dat ذخیره کرده و به محض اتصال به اینترنت، فایل گزارشی با نام temp997.htm ایجاد کرده و برای آدرس تعریف شده در تروجان (مثلاً ایمیل یا سرور نویسنده این تروجان) ارسال می‌کند.

توجه داشته باشید که این تروجان تمام اطلاعات و گذرواژه‌های ذخیرهشده در مرورگرهای اینترنت اکسپلورر، فایرفاکس و اپرا را هم استخراج کرده و آنها را هم ارسال می‌کند. دراین برنامه همچنین امکانی تعریف شده تا بتواند با اتصال به سروری که در دل برنامه تعریف شده، برنامه‌های دیگری را روی سیستم دانلود و اجرا کند.

این برنامه به از طریق ایمیل و فلش مموری تکثیر می‌شود. این هم نمونه‌ای از متن ارسالی توسط این برنامه:

Thousands of endangered penguins have been coated with oil after a cargo ship ran aground and broke up on a remote British South Atlantic territory, officials and conservationists said Tuesday.The shipwreck also threatens the lobster fishery that provides a livelihood to one of the worlds most isolated communities. The Malta-registered MS Olivia was grounded on Nightingale Island in the Tristan da Cunhachain last week. The ship had been traveling from Brazil to Singapore and contained 1,500 metric tons (1,650 tons) of crude oil and a cargo of 60,000 metric tons (66,000 tons) of soya beans.

فایل پیوست این ایمیل با نام main937.exe ارسال می‌شود. برای پاکسازی کافی‌ست فولدرهای برنامه را به صورت کامل پاک کنید. این تروجان تا الان به ۶ تا از پژوهشگاه‌های و آزمایشگاه‌های ویروس‌شناسی گزارش داده شده. احتمالاً تا دو سه روز آینده تمام ویروس‌کش‌ها اون رو شناسایی خواهند کرد.