این بدافزار بد نویس که بسیار ابتدایی است توسط کارشناسان کسپرسکی تحت نام تروجان Trojan.Win32.Maya.a کم اهمیت تلقی شده است.
کارشناس کسپرسکی در صفحه وبلاگ خود در این باره نوشت بدافزار مذکور سعی کرده با دستور wipe کردن اطلاعات کامپیوتر قربانی خود را اجرا کند.
در واقع حمله کننده یک BAT فایل نوشته و سپس از ابزار موسوم به BAT2EXE tool استفاده کرده و آنرا داخل PE فایل راه اندازی کرده است. به گفته کارشناس کس÷رسکی هیچ رابطه ای بین این تروجان با بدافزارهایی که به صورت سایبری نوشته شده و روی سیستم های ایرانی ارسال شده دیده نمی شود. پی لود فایل نیز بسیار ابتدایی است چرا که بد افزار خود را با تاریخ های از قبل تعریف شده می سنجد و اگر این سنجش درست از آب در بیاید تا 50 دقیقه می ایستد و بعد سعی می کند تمام فایلها روی درایو D را پاک کند. همچنان قادر به پاک کردن فایلها از روی دسکتاپ نیز هست.
اما تاریخ های تعریف شده به شرح زیر است:
2012/12/10-12
2013/01/21-23
2013/05/06-08
2013/07/22-24
2013/11/11-13
2014/02/03-05
2014/05/05-07
2014/08/11-13
2015/02/02-04
2013/01/21-23
2013/05/06-08
2013/07/22-24
2013/11/11-13
2014/02/03-05
2014/05/05-07
2014/08/11-13
2015/02/02-04
قطعا بدنویس این بدافزار در حال فکر کردن در ابتدای راه بوده است.
سپس CHKDSK اجرا می شود و این در حالی است که حدس زده می شود نویسنده می خواسته یک نوعی خطای برنامه ای را به قربانی نشان دهد تا سیسم اش زا خاموش و روشن کند.
کنار فایلهای نوشته شده با BAT2EXE فایل SLEEP 16 بیتی است که مخرب نیست.چرا که روی نسخه 64 بیتی اجرا نمی شود و به شکل زیر دیده می شود:
صرف نظر از منطقه آلوده شده (ایران) هیچ قرابتی بین این بدافزار با سایر بدافزارها دیده نمی شود اما اگر بر عکس فکر کنیم شاید این مقدمه بدافزار دیگری باشد که باید خود را برای آن آماده کرد.
(عکس خبر به عمد rotate شده است به معنی نا چیز بودن بدافزار)
منبع: سکیورلیست
5656
نظر شما