پس از اینکه خانوادهی بدافزارهای Xpiro مدتی را در خاموشی سپری
کردهاند، این بدافزارها این بار با سر و صدای زیاد و البته قابلیت های
بیشک خطرناکی بازگشتهاند.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، در نمونههای قدیمی از این بدافزار، فقط پروندههای ۳۲ بیتی آلوده
میشدند، اما این بار دامنهی فعالیت های این نمونه از بدافزار گسترش
پیدا کرده و پروندههای ۶۴ بیتی را نیز آلوده میکند.
گسترهی این آلودگی مبتنی بر معماری خاصی نیست، یعنی یک نمونهی ۳۲ بیتی
از بدافزار Xpiro میتواند یک پروندهی اجرایی ۶۴ بیتی را آلوده کند و
برعکس. البته این بدافزار قابلیت های سرقت دادهها از رایانههای قربانی
را نیز بهبود بخشید است و با اضافه کردن افزونههای مرورگرهای فایرفاکس و
کروم میتواند بر نشست های این مرورگرها نظارت داشته باشد.
آلودگی مستقل از معماری و ماندگاری بدافزار
اگرچه قبلاً نیز بدافزارهایی مشاهده شدهاند که قابلیت آلودهسازی چندین
نوع معماری را داشتهاند، اما هیچ یک مانند بدافزار Xpiro به صورت گسترده
منتشر نشدهاند. نمونهی جدید این بدافزار قابلیت آلودهسازی معماریهای
زیر را دارد:
Intel 386 (32-bit)
Intel 64 (64-bit)
AMD64 (64-bit)
البته لازم به ذکر است که پروندههای Intel64 آلوده میشوند، اما به دلیل
خطایی که در کد بدافزار وجود دارد این آلودگی کامل نیست و پروندهها فقط
دچار تغییر میشوند و به گزارش سیمنتک این پروندهها را میتوان به حالت
اولیه و وضعیت بدون آلودگی تبدیل کرد.
در نمونههای قدیمی تر، معمولاً پروندههای آلودهساز توانایی داشتند
که سایر پروندههای اجرایی را آلوده سازند و اهمیتی به تداوم گسترش
آلودهسازی داده نمیشد. اما این نمونه بدافزار از یک روش دقیق برای رسیدن
به تداوم آلودهسازی و عمل آلودهسازی به طور همزمان استفاده میکند. در
ابتدا این بدافزار سعی میکند، تمامی پروندههای خدمات Win32 را بشمارد و
تلاش کنند تمامی این پروندهها را آلوده سازد. سپس تمامی پروندههای پیوند
(lnk) در میز کار کاربر و همچنین پوشههای منوی شروع (Start Menu) هدف
آلودهسازی این بدافزار قرار میگیرند.
اما چرا این پروندهها انتخاب میشوند؟ چرا که این پروندهها بیش ترین
شانس را دارند که توسط کاربر و یا خود سامانه اجرا شوند و در نتیجه با هر
بار راهاندازی سامانه احتمال اجرای بدافزار و درنتیجه ماندگاری آن وجود
دارد. در نهایت، تمامی پروندههای اجرایی از درایو C تا درایو Z چه به
صورت درایو ثابت و چه به صورت جابهجاپذیر آلوده خواهند شد.
پیش رفتهتر شدن قابلیت سرقت اطلاعات
هدف نهایی این خانواده از بدافزارها از ابتدا سرقت اطلاعات از میزبان آلوده
بوده است. این هدف همچنان در نسخهی جدید پابرجاست و البته برای دستیابی
به آن ابزارهایی به بدافزار اضافه شده است.
هنگامی که این بدافزار در رایانهی قربانی اجرا میشود، افزونهای به
مرروگرهای کروم و فایرفاکس اضافه میکند که در مرورگر فایرفاکس به صورت
مخفی و در مرورگر کروم به نام Google Chrome 1.0 میباشد.
به طور مثال افزونهی فایرفاکس میتواند فعالیتهای زیر را انجام دهد:
پنهانسازی حضور افزونه
کاهش امنیت مرورگر
جاسوسی فعالیتهای اینترنتی کاربر
سرقت رویدادهای ثبت شده
تغییر مسیر آدرس درخواستی توسط کاربر به یک آدرس از پیش تعریف شده.
پس از نصب افزونه توسط بدافزار، و با راهاندازی مجدد مرورگر فایرفاکس به
کاربر اطلاع داده میشود که یک افزونهی جدید نصب شده است، اما این افزونه
در فهرست افزونههای نصب شده پیدا نخواهد شد.
همانطور که گفته شد، این بدافزار میتواند امنیت مرورگر را نیز تغییر
دهد، در تصاویر زیر مشاهده میشود که بدافزار هشدارهای مرورگر را غیرفعال
کرده است و همچنین قابلیت اعلام به روز رسانیهای موجود برای مرورگر نیز
غیرفعال شده است.
در صورتی که کاربر به صورت دستی نیز تلاش کند که به روز رسانیهای موجود
را اعمال کند، این اتفاق عملی نمیشود، چراکه بدافزار Xpiro، آدرس دریافت
به روز رسانیهای مرورگر را به ۱۲۷٬۰٬۰٬۱ که یک آدرس محلی است، تغییر
میدهد.
با از کار افتادن بسیاری از قابلیت های هشدار مرورگر توسط این افزونه،
کاربر به صورت طبیعی با مشکلات متعددی مواجه خواهد شد. همچنین برخی از
ویژگیهای مرور وب ایمن، که از کاربر در مقابل حملات فیشینگ محافظت میکند
نیز از کار خواهد افتاد.
Xpiro تمامی فعالیت های HTTP کاربر در مرورگر را پایش میکند و گزارش
همهی این فعالیتها را به یک کارگزارارسال میکند و سپس اقدام به بارگیری
دو فهرست آدرس از این کارگزارها میکند:
آدرس های هدف
آدرس های تغییر مسیر
اگر کاربر یکی از آدرس های هدف را در مرورگر وارد کند، بدافزار این آدرس
را با آدرس های تغییر مسیر، تعویض میکند. این آدرس های تغییر مسیر
میتوانند صفحات تبلیغاتی و یا صفحاتی که امکان بارگیری بدافزارهای بیش
تر را فراهم میکنند، باشند.