بدافزار
۰
plusresetminus
سه شنبه ۲۸ شهريور ۱۳۹۱ ساعت ۱۰:۵۰

گزارش آزمایشگاه ضدبدازار ایمن از نحوه عملکرد بدافزار Dorifel

ایتنا - Dorifel بعد از Gauss که خاورمیانه و کشورهای آسیای غربی را مورد حمله قرار داده بود در اروپا بخصوص هلند بیشتر از سایر کشورها شایع شده، و بیشتر موسسات مالی و بانک‌ها را هدف قرار داده است.



گزارش آزمایشگاه ضدبدازار ایمن از نحوه عملکرد بدافزار Dorifel
تاریخ انتشار : ۲۱/۰۶/۹۱ 
---------------

آزمایشگاه ضد بدافزار ایمن به بررسی اجمالی بدافزار XDocCrypt یا Dorifel پرداخته است.
در حال حاضر Dorifel در کشورهایی مانند دانمارک، فیلیپین، آلمان، ایالات متحده ، اسپانیا در این اواخر در کشورهایی نظیر کانادا، چین و لهستان مشاهده شده است و بیش از همه در کشور هلند شیوع پیدا کرده است.
به اعتقاد برخی از کارشناسان Dorifel را می توان از خانواده Zeus/Zbot دانست. 

ویروس Dorifel به زبان Delphi نوشته شده است،این بدافزار فایل‌هایی با پسوند Doc، Docx، Xls، Xlsx و Exe را آلوده می‌کند، فایل آلوده شده با تغییر نام، سایز و آیکون همراه بوده است.
این بدافزار برای تغییر نام از RTLO Unicode Hole استفاده می‌کند و یک پسوند جعلی به فایل می‌دهد، برای مثال فایلی به اسم Imen lab?cod.src در اکسپلورر ویندوز به اشتباه Imen labrcs.doc نشان داده می‌شود.

این ویروس با جابجایی Entrypoint فایل‌های Exe و تغییر آن به آدرس ۰۰۰۰FA۰۴ و تغییر File Offset به آدرس ۰۰۰۰EE۰۴ کد خود را به فایل آلوده اضافه می‌کند.

Dorifel بعد از اجرا فایل‌های زیرا را در مسیر %AppData%\[Random Name] می‌سازد.

[Random Name].exe
[Random Name].exe.adm
[Random Name].exe.dat
[Random Name].exe.ini
[Random Name].exe.lnk

این ویروس اسناد اداری را رمزگذاری کرده و به فایل‌های اجرایی تبدیل می‌کند و قابلیت C&C را نیز دارا می‌باشد.
Command‌هایی که این بدافزار از آنها استفاده می‌کند "-Launcher" و "-Update" می‌باشد.

Dorifel از فولدرهای به اشتراک گذاشته شده در شبکه و فلش دیسک‌ها برای انتشار خود بهره می‌برد و همینطور می‌تواند به عنوان هرز نامه نیز منتشر شود.
Dorifel با IP‌های زیر ارتباط برقرار می‌کند:
۱۸۲.۲۰۲.۱۵۳.۳۱
۶۵.۵۵.۲۷.۲۲۰
۸۱.۸۸.۴۸.۷۹
۶۴.۹۰.۵۹.۱۶۰
۶۵.۵۵.۱۸۵.۲۶
۶۵.۵۵.۱۸۴.۱۶
۶۵.۵۵.۲۵.۵۹
۲۰۷.۴۶.۲۱.۱۲۴
۶۵.۵۵.۲۷.۲۱۹
۶۵.۵۴.۵۱.۲۵۳
۶۵.۵۵.۲۰۰.۱۳۹
۶۵.۵۵.۲۵.۴۴
ارتباط با IP‌های ۱۸۴.۸۲.۱۶۲.۱۶۳ و ۱۸۴.۲۲.۱۰۳.۲۰۲ می تواند رفتارهای مخرب این بدافزار را در سیستم شما نشان دهد. 

در پایان باید اشاره کرد Dorifel بعد از Gauss که خاورمیانه و کشورهای آسیای غربی را مورد حمله قرار داده بود در اروپا بخصوص هلند بیشتر از سایر کشورها شایع شده، و بیشتر موسسات مالی و بانک‌ها را هدف قرار داده است.
برای کسب اطلاعات بیشتر و آشنایی با جزئیات این ویروس می‌توانید به نشانی www.ImenAntiVirus.com مراجعه کنید یا با تلفن‌های ۱۶ - ۶۶۹۰۰۶۱۱ تماس حاصل نمایید.
 

کد مطلب: 23626
 
نام شما
آدرس ايميل شما

هوش مصنوعی تشخیص فیبریلاسیون دهلیزی را بهبود می‌بخشد
هوش مصنوعی تشخیص فیبریلاسیون دهلیزی را بهبود می‌بخشد
دانشمندان احتمالا قطب‌نمای عصبی مغز را پیدا کرده‌اند
دانشمندان احتمالا قطب‌نمای عصبی مغز را پیدا کرده‌اند
علم فیزیک تایید کرد؛ دشمنِ دشمن شما واقعا دوستتان است
علم فیزیک تایید کرد؛ دشمنِ دشمن شما واقعا دوستتان است
چگونه به آمیب مغز خوار و مسمومیت جیوه مبتلا نشویم؟
چگونه به آمیب مغز خوار و مسمومیت جیوه مبتلا نشویم؟
دریافت‌کننده تراشه مغزی نورالینک رنج می‎‌برد!
دریافت‌کننده تراشه مغزی نورالینک رنج می‎‌برد!
گروه خونی همگانی در راه است؛ آنزیمی که ناهمخوانی گروه‌های خونی‌ را از بین می‌برد
گروه خونی همگانی در راه است؛ آنزیمی که ناهمخوانی گروه‌های خونی‌ را از بین می‌برد
سیلوسایبین، ماده فعال قارچ جادویی که به کاهش افسردگی کمک می‌کند
سیلوسایبین، ماده فعال قارچ جادویی که به کاهش افسردگی کمک می‌کند
هوش مصنوعی چگونه شکل جنگ‌ها را در آینده تغییر می‌دهد؟
هوش مصنوعی چگونه شکل جنگ‌ها را در آینده تغییر می‌دهد؟
با دوری از این ۱۵ عامل به زوال عقل زودرس در جوانی دچار نمی‌شوید
با دوری از این ۱۵ عامل به زوال عقل زودرس در جوانی دچار نمی‌شوید
دانشمندان حلقه رابط برنامه غذایی و ابتلا به سرطان را کشف کردند
دانشمندان حلقه رابط برنامه غذایی و ابتلا به سرطان را کشف کردند
افراد دارای دو نسخه از یک ژن پرخطر زمینه ژنتیکی ابتلا به آلزایمر را دارند
افراد دارای دو نسخه از یک ژن پرخطر زمینه ژنتیکی ابتلا به آلزایمر را دارند
انسان‌ها قبل از عصر کشاورزی چه می‌خوردند؟
انسان‌ها قبل از عصر کشاورزی چه می‌خوردند؟
کشف یک بدافزار روسی توسط شرکت امنیتی در فنلاند
۱
کشف یک بدافزار روسی توسط شرکت امنیتی در فنلاند
هشدار مایکروسافت به اندرویدی‌ها
۲
هشدار مایکروسافت به اندرویدی‌ها
اعلام تعرفه‌های تخفیفی ایرانسل ویژه حج ۱۴۰۳
اعلام تعرفه‌های تخفیفی ایرانسل ویژه حج ۱۴۰۳
تسهیلات ۵۰۰ میلیون تومانی به کسب و کارهای فعال در سکوهای داخلی
تسهیلات ۵۰۰ میلیون تومانی به کسب و کارهای فعال در سکوهای داخلی
ارزیابی گوشی‌های وارداتی و تولید داخل از نظر میزان تشعشع
ارزیابی گوشی‌های وارداتی و تولید داخل از نظر میزان تشعشع
آخرین آمار از تعداد دامنه‌های فارسی ثبت در کشور
آخرین آمار از تعداد دامنه‌های فارسی ثبت در کشور
بیش‌از ۲۷ میلیون مکالمه رومینگ ملی
بیش‌از ۲۷ میلیون مکالمه رومینگ ملی
آخرین وضعیت ضریب نفوذ اینترنت در کشور
آخرین وضعیت ضریب نفوذ اینترنت در کشور
واردات ۵۰۰ هزار گوشی تلفن همراه در یک ماه
واردات ۵۰۰ هزار گوشی تلفن همراه در یک ماه
معافیت کسب و کارهای اینترنتی از مالیات به کجا رسید؟
معافیت کسب و کارهای اینترنتی از مالیات به کجا رسید؟
آغاز نمایشگاه ایران اکسپو ۲۰۲۴ با حضور ایرانسل
آغاز نمایشگاه ایران اکسپو ۲۰۲۴ با حضور ایرانسل
واکنش معاون علمی به واگذاری سهام برخی کسب و کارهای دیجیتال
واکنش معاون علمی به واگذاری سهام برخی کسب و کارهای دیجیتال
ضدبدافزار ایمن نگارش ققنوس نسخه شبکه ویندوز به بازار آمد
فراخوان شناسایی شرکت‌های ارائه کننده آنتی ویروسی خارجی به زودی اعلام می‌شود
تشکیل کارگروه ساماندهی ورود و به کارگیری ضدبدافزارهای خارجی، فرصتی برای بخش خصوصی
ضد بدافزارهای خارجی ساماندهی می‌شوند
بیت دیفندر: مقام اول در آزمون AV-TEST
مهمترين اقدام برای پيشگیری از تکرار امثال کوروش کمپانی؟
اصلاح قوانين
برخورد قاطع
اصلاح گمرکات
آزاد کردن بازار
آگاه سازی مردم
هيچکدام
هشدار مایکروسافت به اندرویدی‌ها
هشدار مایکروسافت به اندرویدی‌ها
کشف یک بدافزار روسی توسط شرکت امنیتی در فنلاند
کشف یک بدافزار روسی توسط شرکت امنیتی در فنلاند