ورود بدافزار POSHEDO به کشور

Poshedo بدافزاری از نوع اسب تروا است که اقدام به دریافت و نصب برنامه های مخرب دیگر بر روی دستگاه قربانی می کند.

به گزارش آی تی اس ان به نقل از برخی منابع داخلی، بدافزار جدید Poshedo بر روی برخی سیستم های داخل کشور مشاهده شده است.

 این بدافزار دستگاه های با یکی از سیستم های عامل زیر را هدف قرار می دهد:

Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008.

Windows 95, Windows 98, Windows Me, Windows XP, Windows Vista, Windows 7.

فایل اصلی Poshedo که یک میانبر دستکاری شده Windows است در قالب فایل RAR و از طریق هرزنامه ها (Spam) منتشر می شود. فایل های میانبر با نام های زیر گزارش شده است:

Full Order.lnk

Jan_2016_Order_Sheet.lnk

sample.lnk

COMMERCIALINVOICE.jpg.lnk

Order Specification.lnk

Refund.lnk

Scan_073.lnk

Contract.lnk

PO_Specification.lnk

Quotation.lnk

NewProductOrder.txt.lnk

TTcopy-copy.lnk

NewProductOrder.txt.lnk

Scan_020.lnk

liste confidentiel.lnk

Item_list_01.lnk

Order Specification.lnk

Order List.lnk

article_draft.docx.lnk

به محض اجرا شدن هر یک از این فایل ها، بدافزار با بهره گیری از پروسه PowerShell فایل مخربی را دریافت و آن را در مسیر زیر ذخیره می کند:

%AppData%\[THREAT FILE NAME].exe

در زمان بررسی این بدافزار، عملیات دریافت با برقراری ارتباط با یکی از دامنه های زیر صورت می گرفته است:

[http://]directexe.com/Xmm/bb.[REMOVED]

[http://]sjc4911.com/.sql/mike[REMOVED]

[http://]directexe.com/Xmm/bb.[REMOVED]

[http://]aromkampanya.com/latin/wido[REMOVED]

[http://]directexe.com/2D2A/bg.[REMOVED]

[http://]secureemail.bz/ink[REMOVED]

[http://]sjc4911.com/.sql/stanr[REMOVED]

[http://]nevergreen.net/8[REMOVED]

[http://]zohaibnadeemgroup.com/pic/harris[REMOVED]

[http://]messystaging.com/.sql/mike[REMOVED]

[http://]aromkampanya.com/sumo[REMOVED]

[http://]tnservice.com.au/isp/ugogene[REMOVED]

[http://]www.algerie-focus.com//wp-content/uploads/2016/02/01.[REMOVED]

[http://]nevergreen.net/8[REMOVED]

[http://]directexe.com/2D2A/bg.[REMOVED]

[http://]nevergreen.net/6[REMOVED]

[http://]online-dropbox.com/online/[REMOVED]

[http://]droidgraphix.xyz/user02/iptoo[REMOVED]

[http://]www.amspeconline.com/123/etna[REMOVED]

[http://]jacoblennox.com/wp-includes/putt[REMOVED]

[http://]hecforex.info/wp-includes/upd[REMOVED]

در ادامه فایل دریافت شده با استفاده از فرمان cmd.exe اجرا می شود.

استفاده از ضدویروس قدرتمند و به روز و بهره گیری از راهکارهای ضدهرزنامه در درگاه شبکه، در کنار آموزش کاربران در پرهیز از اجرا نمودن فایل های مشکوک می تواند احتمال آلودگی به این نوع بدافزارها را به حداقل برساند.

شبکه گستر به نقل از شرکت ضدویروس Symantec، توضیح اینکه نمونه های گزارش شده از این بدافزار توسط ضدویروس McAfee با نام RDN/Generic Downloader.x کشف و شناسایی می شوند.