گزارش آزمایشگاه ضدبدازار ایمن از نحوه عملکرد بدافزار Dorifel
ایتنا - Dorifel بعد از Gauss که خاورمیانه و کشورهای آسیای غربی را مورد حمله قرار داده بود در اروپا بخصوص هلند بیشتر از سایر کشورها شایع شده، و بیشتر موسسات مالی و بانکها را هدف قرار داده است.
گزارش آزمایشگاه ضدبدازار ایمن از نحوه عملکرد بدافزار Dorifel تاریخ انتشار : ۲۱/۰۶/۹۱ ---------------
آزمایشگاه ضد بدافزار ایمن به بررسی اجمالی بدافزار XDocCrypt یا Dorifel پرداخته است. در حال حاضر Dorifel در کشورهایی مانند دانمارک، فیلیپین، آلمان، ایالات متحده ، اسپانیا در این اواخر در کشورهایی نظیر کانادا، چین و لهستان مشاهده شده است و بیش از همه در کشور هلند شیوع پیدا کرده است. به اعتقاد برخی از کارشناسان Dorifel را می توان از خانواده Zeus/Zbot دانست.
ویروس Dorifel به زبان Delphi نوشته شده است،این بدافزار فایلهایی با پسوند Doc، Docx، Xls، Xlsx و Exe را آلوده میکند، فایل آلوده شده با تغییر نام، سایز و آیکون همراه بوده است. این بدافزار برای تغییر نام از RTLO Unicode Hole استفاده میکند و یک پسوند جعلی به فایل میدهد، برای مثال فایلی به اسم Imen lab?cod.src در اکسپلورر ویندوز به اشتباه Imen labrcs.doc نشان داده میشود.
این ویروس با جابجایی Entrypoint فایلهای Exe و تغییر آن به آدرس ۰۰۰۰FA۰۴ و تغییر File Offset به آدرس ۰۰۰۰EE۰۴ کد خود را به فایل آلوده اضافه میکند.
Dorifel بعد از اجرا فایلهای زیرا را در مسیر %AppData%\[Random Name] میسازد.
این ویروس اسناد اداری را رمزگذاری کرده و به فایلهای اجرایی تبدیل میکند و قابلیت C&C را نیز دارا میباشد. Commandهایی که این بدافزار از آنها استفاده میکند "-Launcher" و "-Update" میباشد.
Dorifel از فولدرهای به اشتراک گذاشته شده در شبکه و فلش دیسکها برای انتشار خود بهره میبرد و همینطور میتواند به عنوان هرز نامه نیز منتشر شود. Dorifel با IPهای زیر ارتباط برقرار میکند: ۱۸۲.۲۰۲.۱۵۳.۳۱ ۶۵.۵۵.۲۷.۲۲۰ ۸۱.۸۸.۴۸.۷۹ ۶۴.۹۰.۵۹.۱۶۰ ۶۵.۵۵.۱۸۵.۲۶ ۶۵.۵۵.۱۸۴.۱۶ ۶۵.۵۵.۲۵.۵۹ ۲۰۷.۴۶.۲۱.۱۲۴ ۶۵.۵۵.۲۷.۲۱۹ ۶۵.۵۴.۵۱.۲۵۳ ۶۵.۵۵.۲۰۰.۱۳۹ ۶۵.۵۵.۲۵.۴۴ ارتباط با IPهای ۱۸۴.۸۲.۱۶۲.۱۶۳ و ۱۸۴.۲۲.۱۰۳.۲۰۲ می تواند رفتارهای مخرب این بدافزار را در سیستم شما نشان دهد.
در پایان باید اشاره کرد Dorifel بعد از Gauss که خاورمیانه و کشورهای آسیای غربی را مورد حمله قرار داده بود در اروپا بخصوص هلند بیشتر از سایر کشورها شایع شده، و بیشتر موسسات مالی و بانکها را هدف قرار داده است. برای کسب اطلاعات بیشتر و آشنایی با جزئیات این ویروس میتوانید به نشانی www.ImenAntiVirus.com مراجعه کنید یا با تلفنهای ۱۶ - ۶۶۹۰۰۶۱۱ تماس حاصل نمایید.