فعالیت دوباره بدافزار StealRat
فعالیت دوباره بدافزار StealRat
طبق بررسی های انجام شده از مراکز معتبر، بدافزار(Malware) به نام Stealrat مجددا فعال شده است..!
این بدافزار در سال گذشته در سایت های با مدیریت محتوای جوملا و وردپرس وجود داشته است که اکنون مجدد فعالیت خود را شروع کرده است.
نوع جدید این بدافزار بیشتر در هاست های داخلی مشاهده شده است.
Stealrat یک بات نت انتشار اسپم میباشد که از روشی جدید برای ارسال اسپم استفاده میکند. روش این بدافزار به شرح زیر است:
- اطلاعات اسپم از قبیل نام فرستنده، نام گیرنده و محتوای ایمیل اسپم را جمع آوری میکند و این اطلاعات را از طریق سیستم آلوده به بدافزار stealrat برای سایت قربانی ارسال میکند.
- کاربران را ترغیب به کلیک بر روی ایمیل اسپم میکند تا کاربران به سایت قربانی دوم هدایت شوند.
- در وب سایت دوم نیز لینک هایی وجود دارد که شامل صفحاتی هستند که کاربر را به کلیک بر روی آنها ترغیب میکند.
در واقع ایمیل اسپم حاوی بدافزار نیست و ارتباط بین این دو قابل مشاهده نیست.
از اقدامات جالب این بدافزار این است که برای پنهان کردن ترافیک شبکه خود، نام دامنه را به google.com تغییر میدهد. اشتراک سایت های آلوده به این بدافزار استفاده از برنامه های آسیپ پذیر جوملا و وردپرس است.
روش شناسایی این بدافزار در سایت:
مدیران این سایت ها برای بررسی سایت خود لازم است ابتدا اسکریپت های اسپمر را شناسایی کنند. بهتر است هر فایل نا آشنای PHP بررسی شود.
نام فایل هایی که تابحال شناسایی شده اند به صورت زیر است:
۱- copy.php
۲- up.php
۳- Del.php
۴- path.php
۵- bak.php
۶- utf.php
۷- bannerEB3Y.php
۸- returnMoCo.php
۹- sitemapuuA.php
۱۰- themesqx10.php
ترندمیکرو طی تحقیقات خود ۸۵۰۰۰ آدرس آیپی و دامنهی منحربه فرد را شناسایی کرده است که برای ارسال اسپم در یک دورهی یک ماهه مورد استفاده قرار گرفتهاند. هر کدام از این دامنهها به طور متوسط شامل دو اسکریپت اسپمر هستند. حداقل ۸۶۴۰ اسپم روزانه از سایت آلوده به افراد ارسال میشود. ارسالکنندگان اسپم در حال حاضر حدود ۷ میلیون آدرس ایمیل را هدف قرار دادهاند.
7 دی 1393 | 2239 بازدید