logo

شرکت سیاره فناوری اطلاعات

شرکت سیاره فناوری اطلاعات در سال 1394 با هدف ارائه خدمات تخصصی در حوزه امنیت شبکه، دیتاسنتر و زیرساخت با ماموریت ارتقاء کیفی ارائه خدمات، در استان هرمزگان تاسیس گردیده است.
آدرس: بندرعباس - بلوار دانشگاه - دانشگاه 15 - ساختمان خلیج فارس - ورودی آ - طبقه هفتم - واحد 34
Info@ITP-Co.net
07633678656
07633679513
09175500730

انتقال تروجان NetWire توسط بدافزار WiryJMPer

یک منتقل کننده بدافزار جدید کشف شده است که رایانه‌ها را توسط یک payload مخرب با نام Netwire آلوده می‌کند. این payload در دو فایل اجرایی مخرب مخفی شده است و با استفاده از مبهم‌سازی، نرم‌افزارهای ضدبدافزار را دور می‌زند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی Bleeping Computer، این منتقل‌کننده WiryJMPer نام دارد که توسط پژوهشگران Avast کشف شده است. payload منتقل شده NetWire است که با نام‌های Recam یا NetWireRC نیز شناخته می‌شود. NetWire یک تروجان با دسترسی از راه دور (RAT) است که از سال ۲۰۱۲ بطور گسترده مورد استفاده قرار گرفته و قابلیت‌های کنترل از راه دور را دارد. تمرکز این payload بر روی کلیدنگاری و سرقت گذرواژه است تا برای مهاجمان امکان دسترسی غیرمجاز و کنترل از راه دور رایانه‌های قربانیان را فراهم کند.
در ابتدا بنظر می‌رسد که WiryJMPer یک فایل اجرایی WinBin۲Iso (برنامه‌ای برای تبدیل CD/DVD/Blu-ray به فایل‌های ISO) باشد، اما حجم آن بیش از سه برابر حالت عادی است. باینری دوم که بدافزار از آن برای پنهان شدن استفاده می‌کند، کیف پول الکترونیکی ABBC Coin، یک رمزارز مبتنی بر زنجیره بلوکی، است. نکته قابل توجه درباره این بدافزار، نحوه مبهم‌سازی غیرمعمول آن است. نوع مبهم‌سازی بدافزار باعث شده است تا شناسایی آن در VirusTotal با نرخ پایینی انجام شود و از ۶۶ مورد، تنها ۶ مورد آن شناسایی شده است. تلاش برای کسب پایداری این بدافزار در سیستم قربانی با کپی کردن فایل باینری اصلی در آدرس APPDATA%\abbcdriver.exe% و ایجاد میانبر آن در پوشه Startup انجام می‌شود.

 

منبع خبر: مرکز مدیریت راهبردی افتا

ITPCo_Co