معرفی بدافزار Lokibot trojan

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q278

 

به طور کلی این جاسوس‌افزار برای دزدی اطلاعات از برنامه‌های نصب شده در ماشین قربانی طراحی شده است؛ برای نمونه اطلاعات مرورگرها، کلاینت‌های نامه الکترونیک، FTP، مدیریت فایل و غیره. با توجه به رفتارهای این جاسوس‌افزار می‌توان گفت که این بدافزار نسخه جدیدی از تروجان Lokibot است. این بدافزار در ابتدای اجرا از تمامی ظرفیت CPU استفاده می‌کند و کمی پس از آغاز به کار، پردازه‌ای هم‌نام خود اجرا و سپس فایل را از دیسک حذف می‌کند.

شناسایی سیستم آلوده از طریق لاگ‌های شبکه
• تمامی سیستم‌هایی از شبکه که با نام دامنه‌های <random IP>\<random name>\fre.php در ارتباط باشند.
• تمامی سیستم‌هایی از شبکه که با دامنه‌های 185.165.29.0/24 در ارتباط باشند.

بررسی وجود آلودگی
1. وجود کلید زیر در رجیستری ویندوز که مقدار آن به نام فایلی در AppData، که مقداری تصادفی است تنظیم شده است.
HKEY_CURRENT_USER\<random ip>/<random name>/fre.php
2. وجود فایل و فولدری با نام مشخص شده در کلید رجیستری فوق در مسیر %AppData%\Roamng
3. وجود فایلی در مسیر C:\Windows\Prefetch\<file name>-<random value>.pf
4. وجود فایلی در مسیر
%AppData%Roaming\Microsoft\Crypto\<random name folder>\<random name file>
که در محتوای این فایل، نام کاربر سیستم به صورت متن آشکار قابل مشاهده است.

نحوه پاک‌سازی سیستم
1. حذف فایل‌ها و کلید رجیستری ایجاد شده در قسمت فوق.
2. منع ارتباط با دامنه‌های 185.165.29.0/24 و <random IP>\<random name>\fre.php

بررسی پاک بودن سیستم
1. نبود کلید زیر در رجیستری ویندوز:
HKEY_CURRENT_USER\<random ip>/<random name>/fre.php
2. نبود فایل‌هایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
3. نبود ارتباط با دامنه‌های 185.165.29.0/24 و <random IP>\<random name>\fre.php

توصیه‌های امنیتی برای پیشگیری
1. خودداری از باز کردن مستندات الحاق شده به ایمیل‌های ناشناس و ...
2. غیرفعال کرن ماکروها در مستندات
3. به‌روز بودن نرم‌افزار ضدبدافزار نصب شده بر روی سیستم
4. مسدودسازی دسترسی به دامنه‌‌های *\fre.php و 185.165.29.0/24 توسط مدیر شبکه