تروجانی که آنتیویروسها را دور میزند
تاریخ انتشار: ۴ مهر ۱۳۹۷ | کد خبر: ۲۰۷۸۵۸۰۸
ایتنا - این تروجان قادر به جمعآوری اطلاعات رایانه است و اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرمهای وب را نیز به سرقت میبرد.
یک عملیات اسپمی در حال انتشار یک تروجان با دسترسی از راه دور (RAT) است که از چندین روش برای فریب دادن ضدویروسهای مبتنی بر امضا استفاده میکند.
این RAT که با نام Adwind شناخته میشود، پیشتر صنایع مختلفی را در جهان مورد هدف قرار داده است.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
به گزارش ایتنا از ایسنا، تروجان توسط Cisco Talos و ReversingLabs مورد بررسی قرار گرفته است. این تروجان همچنین با نامهای AlienSpy، JSocket و jRat نیز شناخته میشود و دارای قابلیتهای زیادی است. تروجان قادر به جمعآوری اطلاعات رایانه و کلیدهای فشرده شده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرمهای وب را نیز به سرقت میبرد.
بدافزار قادر به ضبط ویدئو، صدا و گرفتن تصاویر اسکرینشات نیز است. علاوه بر این، تروجان میتواند فایلهای سیستم را بدون اطلاع کاربر منتقل کند. در نسخههای جدیدتر این تروجان، تلاش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستمهای آلوده نیز انجام میشود.
تروجان ابتدا از طریق عملیات فیشینگ منتقل میشود و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری میکند و پس از اجرا به سرور کنترل و فرمان (C&C) متصل میشود و بدنههای بیشتر را بارگیری میکند تا دادههای سیستم آلوده را به سرقت ببرد.
این بدافزار در گذشته با حداقل ۴۰۰ هزار حمله علیه کسبوکارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده شده است، از Adwind ۳,۰ که آخرین نسخه آن است استفاده شد. در این حملات سیستمهای ویندوز، لینوکس و مک مورد هدف قرار گرفتند.
همچنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامههای ضد ویروس مبتنی بر امضا بهرهبرداری شده است. در عملیات فیشینگ پیامهای مخرب حاوی فایلهای CSV و XLT (هر دو به صورت پیشفرض با نرمافزار اکسل باز میشوند) ارسال میشوند. فایلهای مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره میبرند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده میکند.
پژوهشگران Cisco Talos میگویند که تکنیک جدیدی برای مبهمسازی در حملات استفاده شده است که از طریق آن بخش اول فایل بدون سرایند است و برنامههای ضدویروس را به اشتباه میاندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن را به عنوان یک فایل خراب تشخیص میدهد.
کد مخرب یک اسکریپت Visual Basic را ایجاد میکند که از bitasdmin بهره میبرد. ابزار bitasdmin نرمافزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیتها و نظارت بر فرایند پردازشی آنهاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده شده است. این بسته در ادامه از حالت فشرده خارج میشود و تروجان Adwind را پیادهسازی میکند.
منبع: ايتنا
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.itna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ايتنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۰۷۸۵۸۰۸ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
ویروس کرونا در بدن این مرد هلندی بیش از ۵۰ بار جهش داشت
مورد تاسفبار مرد هلندی که بیش از یک سالونیم به کووید-۱۹ مبتلا بود، در گزارش جدیدی مستند شده است. این مورد با ۶۱۳ روز ابتلا، طولانیترین عفونت کووید است که از آن اطلاع داریم. درواقع این عفونت بهقدری طولانی بود که ویروس فرصت داشت تا در بدن این مرد به واریانت جدیدی تبدیل شود.
به گزارش خبرآنلاین، مرد ۷۲ سالهی هلندی سابقهی سلامتی پیچیدهای داشت. او قبلا برای درمان نوعی سرطان خون، پیوند سلولهای بنیادی انجام داده بود؛ اما بعدها سرطان دیگری بهنام لنفوم بزرگ سلول بی منتشر (DLBL) در او تشخیص داده شد. این مرد در نتیجهی داروهایی که برای درمان بیماری خود مصرف میکرد بهشدت دچار نقص سیستم ایمنی شد؛ به این معنی که مورد جدی ابتلا به کووید-۱۹ همیشه برای او به عنوان خطری بالقوه بهشمار میرفت.
مرد هلندی در فوریهی ۲۰۲۲ به کووید مبتلا شد و با ترکیبی از آنتیبادیهای مونوکلونال و استروئیدها تحت درمان قرار گرفت؛ اما متاسفانه داروها اثر نکردند و عفونت او ماندگار شد. اگرچه این مرد پیش از ابتلا به بیماری چندین دوز واکسن کووید دریافت کرده بود، هیچ شواهدی مبنیبر پاسخ آنتیبادی در بدن او مشاهده نشد.
بیمار برای بیشاز ۶۰۰ روز آلوده به ویروس باقی ماند و مجبور شد چندینبار در بیمارستان بستری شود؛ اما خیلی زود و تنها ۲۱ روز پس از نخستین درمان، علائم جهش ویروس در او مشاهده شد. در ابتدا تعیین توالی نشان داد که ویروس در بدن مرد جهشی پیدا کرده که با سوتروویماب (یکی از داروهایی که بیمار با آن تحت درمان قرار گرفته بود) مرتبط است.
ویروس در بدن بیمار بیش از ۵۰ بار جهش داشتتجزیهوتحلیلهای بیشتر ۲۷ سواب بینی جمعآوریشده بین فوریهی ۲۰۲۲ تا سپتامبر ۲۰۲۳ حکایت از این داشت که ویروس در بدن این مرد بیش از ۵۰ بار جهش داشته است. برخی از این جهشها در پروتئین اسپایک رخ داده بود؛ اتفاقی که نشان میدهد ویروس درحال سازگاری برای فرار از سیستم ایمنی بدن انسان است.
مشکلات سلامتی اساسی در مورد مرد هلندی به این معنی بود که سیستم ایمنی بدن او درواقع هرگز فرصتی برای پاکسازی ویروس نداشت. بستریشدن طولانی مدت در بیمارستان، همراه با نیاز به انجام اقدامات احتیاطی بیشتر برای جلوگیری از آلودهشدن دیگران، کیفیت زندگی مرد را تحتتاثیر قرار داده بود. بهگفتهی تیم پزشکی، هیچ مدرکی وجود ندارد که واریانت جهشیافته در بدن این مرد، افراد دیگری را در جامعه آلوده کرده باشد.
بیمار در ماه اکتبر ۲۰۲۳ و در نتیجهی عود بیماری زمینهای خود از دنیا رفت. تاکنون هیچ موردی مشاهده نشده که تا این حد طولانیمدت دوام آورده باشد و از طرفی عفونتهای پایدار پدیدهی شناختهشدهای هستند که با ویروس کرونای عامل کووید ۱۹ ارتباط دارند. برخی از تحقیقات اخیر نشان میدهد که از هر ۱۰۰ عفونت، تنها سه مورد ممکن است بیش از یک ماه باقی بماند.
مشکل این است که هرچه ویروس بهمدت طولانیتری در بدن انسان تکثیر شود و تکامل یابد، شانس بیشتری برای ایجاد جهشهای فرار ایمنی وجود دارد. این یکی از تئوریهای مطرحشده در مورد چگونگی پیدایش اومیکرون است. باید توجه داشت که هر گونهی جهشیافته به واریانتی نگرانکننده تبدیل نمیشود؛ اما همچنان مهم است که عفونتهای مداوم تحت نظر قرار گیرند و بیمارانی که از قبل با سایر مسایل پزشکی درگیر بودهاند، بهترین مراقبتهای ممکن را دریافت کنند.
نویسندگان مقاله در بیانیهای میگویند: «مدت زمان عفونت کووید در مورد مرد هلندی بسیار زیاد بود؛ اما عفونتهای طولانیمدت در بیماران دارای نقص ایمنی در مقایسه با عموم افراد جامعه شایعتر است. کار بیشتر تیم ما شامل توصیف گروهی از عفونتهای طولانیمدت بین یک ماه تا دوسال در بیماران نقص ایمنی بستری در بیمارستان بود. بااینحال بهطور کلی عفونتهای طولانیمدت اتفاق نادری است؛ چراکه افراد دارای نقص ایمنی تنها درصد بسیار کمی از کل جمعیت را تشکیل میدهند.»
مورد مرد هلندی در کنفرانس جهانی ESCMID ارائه خواهد شد.