بدافزار Mahdi/Madi جدیدترین بدافزار
 
درباره وبلاگ


به وبلاگ من خوش آمدید
موضوعات
آرشيو وبلاگ
پیوندهای روزانه


آمار وب سایت:  

بازدید امروز : 4
بازدید دیروز : 0
بازدید هفته : 4
بازدید ماه : 40
بازدید کل : 21268
تعداد مطالب : 29
تعداد نظرات : 1
تعداد آنلاین : 1

آمار وبلاگ:

بازدید امروز : 4
بازدید دیروز : 0
بازدید هفته : 4
بازدید ماه : 40
بازدید کل : 21268
تعداد مطالب : 29
تعداد نظرات : 1
تعداد آنلاین : 1

سيستم عامل
صفحه نخست          پروفایل مدیر وبلاگ        پست الکترونیک           آرشیو مطالب          عناوین مطالب
بدافزار Mahdi/Madi جدیدترین بدافزار
چهار شنبه 6 دی 1391برچسب:,
:: 18:1 ::  نويسنده : فرهاد عظيمي
امروز میخواهم یکی از بدافزار ها را به کمک سایتها معرفی کنم (نویسنده: فرهاد عظیمی +سایت دانشگاه صنعتی اصفهان)
ابتدا توضیحی برای بد افزار

بدافزار  (به انگلیسی: Malware)‏، برنامه‌های رایانه‌ای هستند؛ به علت آنکه معمولاً کاربر را آزار می‌دهند یا خسارتی بوجود می‌آورند، به این نام مشهورند. برخی از آنان فقط کاربر را می‌آزارند. مثلاً وی را مجبور به انجام کاری تکراری می‌کنند. اما برخی دیگر سیستم رایانه‌ای و داده‌های آن را هدف قرار می‌دهند که ممکن است خساراتی به بار آورند. در عین حال ممکن است هدف آن سخت‌افزار سیستم کاربر باشد.

فراوانی انواع بدافزارها در ۱۶ مارس ۲۰۱۱

یک نرم‌افزار برپایه‌ی نیت سازنده آن به عنوان یک بدافزار شناخته می‌شود. در قانون گاه بدافزار را به عنوان یک آلودگی رایانه‌ای می‌نامند. دستاوردهای مقدماتی که توسط سیمنتک در سال ۲۰۰۸ منتشر شد، بیان می‌کند که میزان کدهای آزاردهنده و دیگر برنامه‌های ناخواسته از شمار نرم‌افزارهای قانونی، ممکن است افزون باشد . همچنین گفته شده‌است: «که تعداد بدافزارهای تولید شده در سال ۲۰۰۷ به اندازه مجموع ۲۰ سال قبل بوده‌است  مهمترین پل ارتباطی بدافزارها از تولیدکنندگان آنها به کاربران از طریق اینترنت است
در ۲۹ مارس سال ۲۰۱۰ شرکت سیمنتک شهر شائوخینگ (به انگلیسی: Shaoxing)‏ در چین را به عنوان پایتخت بدافزار در دنیا معرفی کرد.

مایکروسافت در می‌ ۲۰۱۱ گزارش داد که از هر ۱۴ دانلود در اینترنت یکی شامل بدافزار است. به ویژه شبکه‌های اجتماعی و فیس بوک در حال مشاهده افزایش تاکتیک‌های جدید برای ضربه زدن به رایانه‌ها هستند

بدافزار با یک نرم‌افزار معیوب یعنی نرم‌افزاری قانونی ولی شامل اشکالات مضر، تفاوت دارد. گاه بدافزار به صورت یک نرم‌افزار سالم و صحیح طراحی می‌شود و حتی ممکن است از یک سایت رسمی بیاید. بنابراین برخی از برنامه‌های امنیتی مانند مکافی ممکن است بدافزار را یک برنامه‌ی «به طور بالقوه ناخواسته (به انگلیسی: Potentially Unwanted Programs)‏» بنامد. اگرچه یک ویروس رایانه‌ای نیز بدافزاری است که خود را باز تولید می‌کند، اما غلب به اشتباه به همه‌ی بدافزارها ویروس اطلاق می‌شود.

از انواع بدافزارها می‌توان به ویروس‌ها، کرم‌ها، اسب‌های تروآ، جاسوس‌افزارها، آگهی‌افزارها، روت‌کیت‌ها و هرزنامه‌ها اشاره کرد...

                                                                                                                                                                                                     

گزارش‌ها حاکی از آن است که بدافزار هدفمند جدیدی تعدادی از کشورهای خاورمیانه نظیر ایران، اسرائیل و افغانستان را مورد تهدید جدی قرار داده است. بر طبق این گزارش‌ها، این بدافزار به‌صورت یک سند ساختگی نرم افزار Word و یا اسلایدهای نرم‌افزار Power Point می‌باشد که به محض باز شدن، انتقال دهنده بدافزار را فعال می‌نماید.
بدافزار پس از فعال شدن، تصویری را در رابطه با نقشه کشور اسرائیل بر علیه برنامه هسته ای ایران با طراحی نقشه جنگ الکترونیکی که از طریق یکی از سایتهای خبری منتشر شده است نمایش می‌دهد.
آن‌طور که از نقطه نظر تحلیلگران آمده است، بدافزار فوق با استفاده از تکنیکی موسوم به مهندسی اجتماعی کاربر / قربانی را ملزم به اجرای سند آلوده می‌نماید. این در حالی است که سند آلوده با نمایش تعدادی عکس و بازی‌های ریاضی گونه ذهن کاربر را به دستورالعمل‌های ذکر شده در روی تصاویر معطوف و منحرف می‌نماید.
همچنین نکته قابل توجه در مورد برخی از نمونه‌های تحلیل شده حاکی از وجود سندهائی در خصوص نمایش عکسی معماگونه از حضرت علی (ع) بوده که بارها در سایت‌های پارسی زبان نمایش داده شده‌اند.

 

این بدافزار در جهت فریفتن کاربر از تکنیکی موسوم به RTLO به منظور تغییر نام هوشمندانه فایل‌های اجرائی به فایل‌هائی با پسوند jpg ، pdf و یا scr و ppt استفاده می‌نماید. پس از اجرا نمودن این فایل، تعدادی ویدئو  و عکس در جهت فریفتن و پنهان نمودن فعالیت اصلی بدافزار اجرا می‌شود.
بررسی‌های صورت گرفته از سرورهای C&C بیانگر شواهدی در خصوص منشاء حمله از کشور ایران می‌باشد...
 

 

همچنین این بدافزار در جهت مخفی نمودن ارتباطات و بروزرسانی ماژول‌های خود از یک صفحه غیرساختگی گوگل استفاده می‌نماید که به مخفی نمودن ارتباط کمک شایانی می‌نماید.

شواهد حاکی از وجود نمونه‌های قبلی این بدافزار از ماه دسامبر سال 2011 می‌باشد.

 مشخصات فنی بدافزار
یکی از مهمترین مشخصه‌های بدافزار فوق این است که برای جلوگیری از کشف توسط سیستم‌های آنتی ویروس، با استفاده از نسخه‌ای جدید و یا تغییر یافته از پکر معروف UPX  رمز شده است.
همچنین شواهد حاکی از آن است که بدافزار پس از فعال شدن و توسط قسمت Dropper خود، تعداد زیادی از فایل‌ها را در مسیر زیر قرار می‌دهد.
c:\documents and settings\\Printhood
فایل‌هایی نظیر UpdateOffice.exe و OfficeDesktop.exe نیز جز فایل‌های آلوده می‌باشند. همچنین فایل با نام iexplorer.exe نیز به عنوان به سرقت برنده اطلاعات عمل می‌نماید.
 
مجموعه عملیاتی که این تروجان به منظور سرقت اطلاعات انجام می‌دهد به شرح زیر است:
·        کیلاگ نمودن، به معنای به سرقت بردن کلیه کلمات تایپ شده بر روی کیبورد
·        تهیه تصویر از صفحه کاربر قربانی
·        بروزرسانی بکدور مربوط به تروجان
·        ضبط نمودن صدا با پسوند .wav همراه با عملیات ذخیره سازی و آپلود
·        نقشه برداری از ساختار پارتیشن و دیسک سخت
کلیه ماشین‌های آلوده از طریق پروتکل http و با وب سرورهائی با شماره آی پی نظیر 174.142.57.* (سه سرور) و 67.205.106.* (یک سرور) ارتباط برقرار می‌نمایند. همچنین پکت‌های از نوع ICMP به سمت سرورهای فوق الذکر برای چک کردن وضعیت ارسال می‌شوند.
 
همچنین بیش از 300 فایل با پسوندهای dll، PRI و TMP در مسیر زیر ایجاد می‌شوند:
C:\documents and settings\%USER%\Printhood
مقابله با بدافزار Madi
از آنجائی که به دلایل نامشخص، این بدافزار یک بدافزار با قابلیت‌های فنی پائین‌تر (به نسبت دیگر بدافزارهای استفاده شده در حوزه جنگ‌های سایبری نظیر استاکس نت، دیوکیو و فلیم) می‌باشد، لذا استفاده از روش‌های ساده تر به منظور مقابله و پاک‌سازی ماشین‌های آلوده به این بدافزار کاربردی‌تر می‌باشد.
 ماشین‌های آلوده می‌توانند با خاتمه دادن به پروسه UpdateOffice.exe بدافزار را غیر فعال نمایند. همچنین مسیر زیر، مسیری است که بدافزار یک نمونه از خود را به آن‌جا منتقل می‌نماید:
C:\Users\%USERPROFILE%\Windows
به منظور پاک سازی لازم است محتویات این پوشه حذف شود.
همچنین، جهت پاک‌سازی کامل نیز توصیه می‌شود محتویات پوشه در مسیر زیر نیز به طور کامل حذف شوند:
C:\Users\%USERPROFILE%\PrintHood
 
لازم به ذکر است که بدافزار جهت مخفی نمودن فعالیت‌ها، این پوشه را مخفی می‌نماید.

                                                                                                                              (پایان)


لطفا ازوبلاگ من و همچنین وبسایت IRANXPERIA.IR بازدید فرماید

نظرات شما عزیزان:

نام :
آدرس ایمیل:
وب سایت/بلاگ :
متن پیام:
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه:







 
 
نویسندگان
پیوندها
آخرین مطالب