close
تبلیغات در اینترنت
ویروس ایرانی مارمولک چیست؟ چگونه با آن مقابله و آنرا از بین ببریم؟
تبلیعات
ADS
روزبه سیستم
دسته بندی
Category
جدیدترین مطالب
New Post
نویسندگان
Authors
آرشیو مطالب
Archive
از فروشگاه سايت ما بازديد كنيد

    فروشگاه روزبه سیستم
ابر برچسب ها
خبرنامه
Newsletter
    براي اطلاع از آپيدیت شدن وبلاگ در خبرنامه وبلاگ عضو شويد تا جديدترين مطالب به ايميل شما ارسال شود

دوستان ما
Friends
پیوندهای روزانه
Dialy Link
ارزان بخرید
Shoping
تبلیغات
ADS

مطالب تصادفي
Theme Last Posts
تبليغات متني شما

ماهيانه فقط 5 هزار تومان

تبليغات متني شما

ماهيانه فقط 5 هزار تومان

ثبت نام سريع
Register Fast
    نام کاربری :
    رمز عبور :
    تکرار رمز :
    ایمیل :
    نام اصلی :
    کد امنیتی : *کد امنیتیبارگزاری مجدد
ارسال مطلب

    شما نیز نویسنده سایت ما باشید

    http://www.pwut.ac.ir/_layouts/1065/images/new.gif شما هم جزء کسانی‌ باشید که می‌خواهید مطلب خود را منتشر کنید با ارسال مطلب خودمیتوانید یکی‌ از ارسال کنندگان سایت باشید تنها با فشار دادن ارسال مطلب شما هدایتمیشوید به بخش ارسال‌ها و مطلب خود را ثبت کنید.

    ابتدا در سایت عضو شده تا پنل کاربری برای ارسال مطلب برای شما ایجادگردد.


    روزبه سیستم

روزبـــه سیســــتم در ...

Instagram روزبه سیستم روزبه سیستمروزبه سیستم
آخرين ارسال هاي انجمن

ویروس ایرانی مارمولک چیست؟ چگونه با آن مقابله و آنرا از بین ببریم؟

تاريخ : شنبه 10 خرداد 1393 زمان : 18:54

روزبه سیستمبازدید: 324 روزبه سیستمدسته بندی: مقالات ,آموزشی ,

 چطور با ویروس ایرانی مارمولک مقابله کنیم و آنرا از بین ببریم؟

مارمولک يک Keylogger محسوب مي‌شود و عبارات تايپ شده به وسيله صفحه‌کليد را از سيستم‌‌هاي‌عامل ويندوز سرقت کرده و براي سارق ارسال مي‌ کند. ادامه مطلب...

 

بسياري از بدافزارهاي سارق اطلاعاتي که ما در کشورمان با آن‌ها برخورد مي‌کنيم، بدافزارهاي خارجي هستند.

اگر حساب کاربري گوگل يا يکي از شبکه‌هاي اجتماعي يک کاربر به دست سارقان اطلاعاتي بيفتد، به احتمال زياد، منافعي از اين اطلاعات براي سارقان حاصل مي‌شود ولي حساب‌هاي بانکي ريالي به خصوص در شرايط اخير، منافع زيادي براي يک سارق اطلاعاتي خارجي نخواهد داشت.

ویروس ایرانی مارمولک چیست؟ چگونه با آن مقابله و آنرا از بین ببریم؟

اين جاست که بايد در مقابل سارقان اطلاعاتي ايراني نگراني بيشتري داشت، چرا که اين نوع سارق‌ها بيشترين سود را از سرقت اطلاعات يک کاربر ايراني مي‌برند. اگر چه اين نوع بدافزارها زياد نيستند اما وجود دارند.

به تازگي مرکز ماهر از انتشار يک بدافزار ايراني، موسوم به مارمولک خبر داده است؛ بدافزاري که يک Keylogger محسوب مي‌شود و عبارات تايپ شده به وسيله صفحه‌کليد را از سيستم‌‌هاي‌عامل ويندوز سرقت کرده و براي سارق ارسال مي‌نمايد. حملات هدفمند از چندين مرحله تشکيل مي‌شوند که به زنجيره قتل APT شناخته مي‌شوند. مهاجمان به عنوان بخشي از فاز مسلح کردن خود، اغلب يک Payload را در يک فايل قرار مي‌دهند.

اين فايل پس از نصب، در فاز دستور و کنترل (C2) به مهاجم متصل مي‌شود.

يک Payload بسيار معمول مورد استفاده بسياري از بدافزارهاي سرقت کلمه عبور، نرم‌افزار ثبت ضربات صفحه کليد (Keylogger) است. هدف از ثبت ضربات صفحه‌کليد اين است که ضربات صفحه‌کليد کاربر ضبط شده و اطلاعات اعتباري و لينک‌هاي مورد استفاده او به منابع داخلي و خارجي جمع‌آوري گردد.

به تازگي يک بدافزار ايراني ثبت ضربات صفحه‌کليد شناسايي شده است که بر اساس همين روش، به سرقت اطلاعات کاربران ايراني و منطقه مشغول شده است.

نخستين ظهور اين Keylogger به يک فروم در خاورميانه باز مي‌گردد. اگر چه ممکن است برخي Keylogger‌ها، ضربات صفحه‌کليد را براي مقاصد قانوني ثبت نمايند اما اين بدافزار قربانيان خود را با يک Payload پنهان گمراه مي‌سازد.

ویروس ایرانی مارمولک چیست؟ چگونه با آن مقابله و آنرا از بین ببریم؟

به نظر مي‌رسد که توليدکننده اين بدافزار، با قرار دادن آن در فروم مذکور، قصد حمله به ساير اعضا را داشته است. اين کار، يک روش کاملا مرسوم است که بسياري از بدافزارنويسان در جهان براي منتشر کردن بدافزار خود، از آن‌ بهره مي‌برند. نويسندگان بدافزار معمولا براي جلوگيري از شناسايي شدن بدافزار خود، از ابزارهاي ارزان و ساده‌اي استفاده مي‌کنند که بدافزار را با يک برنامه Runtime فشرده‌سازي يا رمزگذاري، تغيير مي‌دهد. در اين مورد خاص، فايل‌هاي مرتبط توسط يک نسخه تغيير يافته از ابزار مشهور UPX پنهان شده‌اند.

اين فايل در هنگـام اجرا، يک کپي از خود را با نام Mcsng.sys در پوشه Sysytem32 ايجاد مي‌کند. اين بـدافزار همچنين پردازشي را اجرا مي‌کند که فايل 1stmp.sys را در پوشه system32config جاي‌گذاري کـرده و اطلاعـات سرقت شـده را در آن مي‌نـويسد. اگر چه پسوند اين فايل .sys (پسوند فايل‌هاي سيستمي) است اما در حقيقت اين فايل يک فايل سيستمي نيست.

هدف اين فايل اين است که به عنوان يک فايل لاگ عمل کند. اطلاعات ذخيره شده در اين فايل، محتوي ضربات صفحه کليد کاربر است که به صورت رمز شده ذخيره شده‌اند. هر بار که يک کليد فشرده مي‌شود، اين پردازش، ضربات صفحه‌کليد را ثبت کرده، آن را رمز و به محتويات فايل 1stmp.sys اضافه مي‌کند.

نويسنده اين بـدافزار، از يـک الگوريتم رمزگذاري ساده بـراي رمز کردن اطلاعات سرقت شده استفاده کرده است. ايـن بـدافزار از رمزگذاري انتخابي با دو تکنيک استفاده مي‌کنـد. هر بايت درصورتي‌ که فرد باشد با استفاده از تکنيـک 1 رمز مي‌شود و در صورتي‌ که زوج باشد، با استفاده از تکنيک 2 رمزگذاري مي‌گردد. اين بـدافزار در نـوع خـود، بدافـزار پيشرفته‌اي محسوب مي‌شود و در کنار اطلاعـات تايـپ شده به وسيله صفحه کليـد، اطـلاعـاتي از جملـه محل تايپ شدن حروف، آدرس سايتـي که کاربـر در همان لحظه در آن قرار دارد و زمان تايپ حروف را نيز ذخيره مي‌کند.

پـس از ثبت و رمز گذاري ضربات صفحه کليد قرباني، اين بدافزار اين اطلاعات را براي نويسنده خود ايميل مي‌کند. اين بدافزار همچنين نام رايانه و نام کاربر را نيز براي سازنده خود مي‌فرستد.

آنتي‌ويـروس مـک‌آفي اين تـروجان keylogger و نسخه‌هاي مختلـف آن را بـا عنوان Keylog-FAG شناسايي مي‌کند.



-----------------------------------------------------انتهای مطلب-----------------------------------------------------پیشنهاد روزبه سیستم



اشتراک گذاري اين مطلب در شبکه هاي اجتماعي

امتیاز : نتیجه : 0 امتیاز توسط 0 نفر مجموع امتیاز : 0

روزبه سیستم نويسنده : رسول روزبه سیستم نظرات ()ادامه مطلب. . .
مطالب مرتبط
نظرات

نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:):(;):D;)):X:?:P:*=((:O@};-:B/:):S
نظر خصوصی
مشخصات شما ذخیره شود ؟[حذف مشخصات] [شکلک ها]
کد امنیتی


از ما حمايت کنيد
به roozbeh-system امتياز دهيد

روزبه سیستم | لیست بیمه , خدمات کامپیوتری اینترنتی

روزبه سیستم | لیست بیمه , خدمات کامپیوتری