پس از اینکه خانواده‌‌ی بدافزار‌های Xpiro مدتی را در خاموشی سپری کرده‌اند، این بدافزار‌ها این بار با سر و صدای زیاد و البته قابلیت‌ های بی‌شک خطرناکی بازگشته‌اند.

در نمونه‌های قدیمی از این بدافزار، فقط پرونده‌های ۳۲ بیتی آلوده می‌شدند، اما این‌ بار دامنه‌ی فعالیت‌ های این نمونه از بدافزار گسترش پیدا کرده و پرونده‌های ۶۴ بیتی را نیز آلوده می‌کند.گستره‌ی این آلودگی مبتنی بر معماری خاصی نیست، یعنی یک نمونه‌ی ۳۲ بیتی از بدافزار Xpiro می‌تواند یک پرونده‌ی اجرایی ۶۴ بیتی را آلوده کند و برعکس. البته این بدافزار قابلیت‌ های سرقت داده‌ها از رایانه‌های قربانی را نیز بهبود بخشید است و با اضافه کردن افزونه‌های مرورگرهای فایرفاکس و کروم می‌تواند بر نشست‌ های این مرورگرها نظارت داشته باشد.
آلودگی مستقل از معماری و ماندگاری بدافزار
اگرچه قبلاً نیز بدافزارهایی مشاهده شده‌اند که قابلیت آلوده‌سازی چندین نوع معماری را داشته‌اند، اما هیچ‌ یک مانند بدافزار Xpiro به صورت گسترده منتشر نشده‌اند. نمونه‌ی جدید این بدافزار قابلیت آلوده‌سازی معماری‌های زیر را دارد:
Intel 386 (32-bit)
Intel 64 (64-bit)
AMD64 (64-bit)
البته لازم به ذکر است که پرونده‌های Intel64 آلوده می‌شوند، اما به دلیل خطایی که در کد بدافزار وجود دارد این آلودگی کامل نیست و پرونده‌ها فقط دچار تغییر می‌شوند و به گزارش سیمنتک این پرونده‌ها را می‌توان به حالت اولیه و وضعیت بدون آلودگی تبدیل کرد.
در نمونه‌های قدیمی‌ تر، معمولاً پرونده‌های آلوده‌ساز توانایی داشتند که سایر پرونده‌های اجرایی را آلوده سازند و اهمیتی به تداوم گسترش آلوده‌سازی داده نمی‌شد. اما این نمونه بدافزار از یک روش دقیق برای رسیدن به تداوم آلوده‌سازی و عمل آلوده‌سازی به طور همزمان استفاده می‌کند. در ابتدا این بدافزار سعی می‌کند، تمامی پرونده‌های خدمات Win32 را بشمارد و تلاش کنند تمامی این پرونده‌ها را آلوده سازد. سپس تمامی‌ پرونده‌های پیوند (lnk) در میز کار کاربر و همچنین پوشه‌‌های منوی شروع (Start Menu) هدف آلوده‌سازی این بدافزار قرار می‌گیرند.اما چرا این پرونده‌ها انتخاب می‌شوند؟ چرا که این پرونده‌ها بیش‌ ترین شانس را دارند که توسط کاربر و یا خود سامانه اجرا شوند و در نتیجه با هر بار راه‌اندازی سامانه احتمال اجرای بدافزار و درنتیجه ماندگاری آن وجود دارد. در نهایت، تمامی‌ پرونده‌های اجرایی از درایو C تا درایو Z چه به صورت درایو ثابت و چه به صورت جابه‌جاپذیر آلوده خواهند شد.
پیش‌ رفته‌تر شدن قابلیت سرقت اطلاعات
هدف نهایی این خانواده از بدافزارها از ابتدا سرقت اطلاعات از میزبان آلوده بوده است. این هدف همچنان در نسخه‌ی جدید پابرجاست و البته برای دست‌یابی به آن ابزارهایی به بدافزار اضافه شده است.هنگامی که این بدافزار در رایانه‌ی قربانی اجرا می‌شود، افزونه‌ای به مرروگرهای کروم و فایرفاکس اضافه می‌کند که در مرورگر فایرفاکس به صورت مخفی و در مرورگر کروم به نام Google Chrome 1.0 می‌باشد.به طور مثال افزونه‌ی فایرفاکس می‌تواند فعالیت‌های زیر را انجام دهد:
پنهان‌سازی حضور افزونه
کاهش امنیت مرورگر
جاسوسی فعالیت‌های اینترنتی کاربر
سرقت رویدادهای ثبت‌ شده
تغییر مسیر آدرس درخواستی توسط کاربر به یک آدرس از پیش تعریف شده.
پس از نصب افزونه توسط بدافزار، و با راه‌اندازی مجدد مرورگر فایرفاکس به کاربر اطلاع داده می‌شود که یک افزونه‌ی جدید نصب شده است، اما این افزونه در فهرست افزونه‌های نصب‌ شده پیدا نخواهد شد.همان‌طور که گفته شد، این بدافزار می‌تواند امنیت مرورگر را نیز تغییر دهد، در تصاویر زیر مشاهده می‌شود که بدافزار هشدارهای مرورگر را غیرفعال کرده است و همچنین قابلیت اعلام به روز رسانی‌های موجود برای مرورگر نیز غیرفعال شده است.در صورتی که کاربر به صورت دستی نیز تلاش کند که به روز رسانی‌های موجود را اعمال کند، این اتفاق عملی نمی‌شود، چراکه بدافزار Xpiro، آدرس دریافت به روز رسانی‌های مرورگر را به ۱۲۷٬۰٬۰٬۱ که یک آدرس محلی است،‌ تغییر می‌دهد.با از کار افتادن بسیاری از قابلیت‌ های هشدار مرورگر توسط این افزونه، کاربر به صورت طبیعی با مشکلات متعددی مواجه خواهد شد. همچنین برخی از ویژگی‌های مرور وب ایمن، که از کاربر در مقابل حملات فیشینگ محافظت می‌کند نیز از کار خواهد افتاد.Xpiro تمامی فعالیت‌ های HTTP کاربر در مرورگر را پایش می‌کند و گزارش همه‌ی این فعالیت‌ها را به یک کارگزارارسال می‌کند و سپس اقدام به بارگیری دو فهرست آدرس از این کارگزارها می‌کند:
آدرس‌ های هدف
آدرس‌ های تغییر مسیر
اگر کاربر یکی از آدرس‌ های هدف را در مرورگر وارد کند، بدافزار این آدرس را با آدرس‌ های تغییر مسیر، تعویض می‌کند. این آدرس‌ های تغییر مسیر می‌توانند صفحات تبلیغاتی و یا صفحاتی که امکان بارگیری بدافزار‌های بیش‌ تر را فراهم می‌کنند، باشند.

پست های پیشنهاد شده

هنوز نظری ثبت نشده،نظر خود را ثبت کنید!


افزودن نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *