بدافزارها

خانه آگاهی‌رسانی امنیتی داشبورد امنیتی بدافزارها
بدافزار CoViper
۳۰ اردیبهشت ۱۳۹۹

بدافزار CoViper

بدافزار CoViper یکی دیگر از بدافزارهای با مضمون ویروس کرونا (Covid-19) است که به نظر می‌رسد از طریق یک فایل مرتبط با این بیماری همه‌گیر منتشر می‌گردد. این بدافزار بدون حذف نسخه اصلی MBR سیستم قربانی، آن را با یک MBR سفارشی‌سازی شده جایگزین/بازنویسی می‌کند. معمولاً بدافزارهایی که با MBR سر و کار دارند، سعی دارند از بوت شدن سیستم‌عامل جلوگیری کنند و با نمایش یک پیغام (اغلب پیغام باج)، دسترسی کاربر به رایانه را محدود می‌کنند. این برنامه‌های مخرب در دسته بدافزارهای MBRLocker/Screen Locker و یا Ransomware (باج‌افزار) جای می‌گیرند. در خصوص CoViper هیچ‌گونه درخواست باج مشاهده نمی‌گردد و به نظر می‌رسد که این بدافزار هنوز در حال توسعه است.

بدافزار CoViper تعدادی فایل در پوشه “%TEMP%” در مسیر C:\Users\[username]\AppData\Local\Temp\ می‌سازد. سپس یک پوشه مخفی با عنوان “COVID-19” در دایرکتوری Home سیستم‌عامل ساخته و این فایل‌ها را داخل آن کپی می‌کند.  کاربران با پیغامی با این مضمون مواجه می‌شوند که « Coronavirus با موفقیت نصب شده و برای ادامه فرآیند، رایانه پس از ۵ ثانیه ری‌استارت خواهد شد.» پس از ری‌استارت شدن رایانه، سه فایل “end.exe”، “run.exe” و “Update.vbs” اجرا خواهند شد که فایل “end.exe” مسئول بازنویسی MBR و عدم بوت شدن سیستم‌عامل است و به جای آن کاربر با پیامی مواجه خواهد شد که به خراب شدن رایانه و لیستی از حساب‌های کاربری Discord اشاره می‌کند. در همین حین، Task Manager غیرفعال شده و تصویر پس زمینه دسکتاپ و نشانگر ماوس نیز تغییر خواهند کرد. پس از بوت شدن سیستم‌عامل، فایل “run.exe”، فرآیند “mainWindow.exe” را راه‌اندازی کرده و تصویر ویروس COVID-19 را به نمایش می‌گذارد. این پنجره شامل دو گزینه “Help” و “Remove virus” می‌باشد که گزینه دوم غیرفعال است. این نشان می‌دهد که بدافزار CoViper احتمالاً در آینده برای دریافت باج به‌روزرسانی خواهد شد. اما با کلیک بر روی گزینه “Help” پنجره‌ای باز خواهد شد که به آلوده شدن سیستم کاربر به Coronavirus اشاره می‌کند. همچنین به قربانی تذکر می‌دهد که بستن پنجره‌ها از طریق Task Manager بیهوده است، چراکه غیر فعال شده است. در صورتی که کاربر، رایانه را ری‌استارت کند بدلیل تغییر MBR، دوباره با همان پیغامی که در بالا اشاره شد مواجه خواهد شد. برای گذر از این مرحله، به توصیه شرکت Avast، با فشردن همزمان کلیدهای “CTRL+ALT+ESC” توسط کاربر، MBR اصلی سیستم بازگردانی شده و رایانه مثل قبل بوت خواهد شد. این ترفند تنها اجازه بوت شدن رایانه را به کاربر می‌دهد و در واقع راه حال اصلی نیست. پس از آن کاربر می‌بایست با نصب یک آنتی‌ویروس معتبر مثل کسپرسکی، رایانه خود را اسکن نماید. گفتنی است که فایل  “Update.vbs” تا به این لحظه هنوز ناقص است و همانطور که از نام آن پیداست مسئول به‌روزرسانی بدافزار CoViper می‌باشد. از این رو بعید نیست که نسخه‌های فعلی صرفاً آزمایشی بوده و نسخه نهایی بدافزار در آینده نزدیک با بهبودهایی در عملکرد آن منتشر شود.

جزئیات تهدید

نام

CoViper

نوع تهدید

 تروجان، ویروس سرقت کننده گذرواژه، بدافزار بانکی، جاسوس‌افزار

اسامی شناسایی شده

 Avast (FileRepMalware), BitDefender (Trojan.GenericKD.42887639), ESET-NOD32 (BAT/Agent.OWN), Kaspersky (HEUR:Trojan.Win32.Generic)

لیست کامل در VirusTotal

علائم

 تروجان‌ها معمولاً به گونه‌ای طراحی شده‌اند که مخفیانه وارد سیستم قربانی شده و بدون سر و صدا به کار خود ادامه می‌دهند. بنابراین هیج علامت مشخصی ندارند.

روش‌های انتشار

 پیوست‌های هرزنامه‌ها، تبلیغات آنلاین مخرب، مهندسی اجتماعی، کرک نرم‌افزارها

آسیب

 سرقت گذرواژه‌ها و اطلاعات بانکی، سرقت اطلاعات هویتی، افزودن رایانه قربانی به شبکه بات (Botnet)

روش حذف (سیستم‌عامل ویندوز)

 اسکن سیستم آلوده توسط یک آنتی‌ویروس معتبر، آرمان داده پویان آنتی‌ویروس کسپرسکی را پیشنهاد می‌کند.

اثرات

بدافزارها قادر به انجام گستره وسیعی از فعالیت‌های مخرب هستند. مثلاً می‌توانند سیستم قربانی را قفل کنند (مثل Ruby و StalinLocker)، بدافزارهای دیگری را دانلود و نصب کنند (مثل GuLoader و Buerak)، مجوز دسترسی از راه دور را برای سیستم قربانی فراهم نمایند (مثل FireBird و BlackNix)، داده‌ها را رمزگذاری کرده و درخواست باج نمایند (مثل MSPLT و WANNACASH NCOV)، اطلاعات حساس و محرمانه را سرقت کنند (مثل Laturo و KPOT)، ارز دیجیتال استخراج نمایند (مثل BitCoinMiner و XMR Miner) و … . مهم نیست چه کاری انجام می‌دهند، آن‌ها تنها یک هدف دارند و آن هم کسب درآمد برای مجرمان سایبری است. وجود این برنامه‌های مخرب موجب از دست رفتن یا تخریب داده‌ها، ضررهای مالی، سرقت اطلاعات هویتی و مشکلات حریم خصوصی شده و یکپارچگی اطلاعات را به خطر می‌اندازند.

روش‌های جلوگیری از آلودگی

ایمیل‌های مشکوک به خصوص اگر دارای پیوست یا لینک هستند نباید باز شوند. این نکته در اشتراک‌گذاری فایل‌ها/لینک‌ها در سایر پلتفرم‌های ارتباطی نیز باید ملاحظه گردد. توصیه می‌گردد به‌روزرسانی یا فعال‌سازی محصولات را همواره از طریق کانال‌های رسمی و توسعه‌دهندگان معتبر انجام دهید. فعال‌سازهای غیر رسمی (مثل کرک‌ها) موجب انتشار بدافزارها می‌گردند. وجود یک ضدبدافزار معتبر و به‌روزرسانی آن یک امر حیاتی است. هرگاه احساس کردید که سیستم شما به بدافزار آلوده شده است، توصیه می‌کنیم که از آنتی‌ویروس کسپرسکی استفاده کنید.

لیست فایل‌های مرتبط با بدافزار CoViper

  • coronavirus.bat : نصب برنامه مخرب و حصول اطمینان از پایداری آن
  • end.exe : بازنویسی MBR
  • run.exe : اجرای فرآیند mainWindow.exe
  • mainWindow.exe : نمایش پنجره‌ای به همراه تصویر Coronavirus
  • Update.vbs : مورد استفاده برای بروزرسانی بدافزار (این اسکریپت در حال حاضر از کار افتاده است.)
  • cursor.cur : ظاهر جدید آیکن ماوس پس از اجرای بدافزار
  • wallpaper.jpg : تصویر جدید پس زمینه پس از اجرای بدافزار
  • پیغام زیر (به دلیل بازنویسی MBR) هنگام بوت سیستم‌عامل نمایش داده می‌شود:
  • Created By Angel Castillo. Your Computer Has Been Trashed.
  • Discord: Windows Vista#3294

یک پنجره پس از اجرای بدافزار CoViper در سیستم قربانی نمایش داده می‌شود:

محتوای این پنجره به صورت زیر است:

  • Administrator: coronavirus installer
  • Coronavirus sucessfully installed!
  • Your computer will restart in 5 seconds to finish the installation 🙂

تصویر با محتوی زیر پس از راه‌اندازی مجدد سیستم‌عامل نمایش داده می‌شود:

Hello! If you see this message is because your computer has infected by coronavirus! Please don’t wast your time, Task Manager are disabled and you can’t terminate this process! If you close this window, it will appear again! so, one more time, DON’T WAST YOUR TIME!

OK

Help

Remove virus

تنها تفاوت این بدافزار با CoViper در پنجره‌های pop-up و پیغام بدافزار در صفحه بوت ویندوز می‌باشد. ترکیب کلیدهای “CTRL+ALT+ESC” در مورد این بدافزار نیز کاربرد دارد.

محتوای داخل این MBR بازنویسی شده:

Created By Angel Castillo. Your Computer Has Been Trashed.

محتوای پنجره‌ای که پس از اولین راه‌اندازی مجدد سیستم‌عامل نمایش داده می‌شود به شرح زیر است:

Help

Hi! if you see this message is because your PC have been infected by the Red Mist Squidward virus! If you reboot your PC, it will not be able to boot again!

روش حذف دستی بدافزار

حذف بدافزار CoViper به روش دستی فرآیندی پیچیده است. توصیه می‌گردد برای حذف خودکار بدافزار از آنتی‌ویروس کسپرسکی استفاده کنید. در صورت تمایل به حذف دستی بدافزار، گام اول شناسایی نوع بدافزار است. تصویر زیر نمونه‌ای از یک برنامه مشکوک در سیستم کاربر را نشان می‌دهد.

در صورتی که با ابزاری مثل Task Manager تشخیص دادید برنامه‌ای مخرب است مراحل زیر را دنبال کنید:

  • ابزار Autoruns را دانلود کنید. این ابزار، برنامه‌هایی که پس از بوت شدن سیستم‌عامل به صورت خودکار اجرا می‌شوند به همراه محل آن‌ها را نشان می‌دهد.
  • سیستم را در حالت Safe Mode ری‌استارت کنید.
  • در ویندوز XP و ۷ : بلافاصله پس از ری‌استارت کردن ویندوز کلید F8 را چندبار فشار دهید تا منوی تنظیمات پیشرفته ویندوز ظاهر گردد. سپس گزینه Safe Mode with Networking را از لیست انتخاب کنید.
  • در ویندوز ۸ : در منوی Start در قسمت جستجو عبارت Advanced را تایپ کرده و Settings را انتخاب کنید. در پنجره “General PC Settings” گزینه Advanced startup options و سپس Advanced startup را و در نهایت گزینه “Restart now” را انتخاب کنید. پس از ری‌استارت شدن رایانه، گزینه “Troubleshoot” سپس “Advanced options” و در نهایت “Startup settings” را انتخاب کنید. با انتخاب گزینه “Restart” رایانه شما وارد صفحه Startup Settings شده که با فشردن کلید F5 سیستم‌عامل در حالت Safe Mode with Networking بوت می‌شود.
  • ویندوز ۱۰ : به محض ری‌استارت کردن رایانه، با نگه‌داشتن کلید “Shift” در پنجره “choose an option” به ترتیب گزینه “Troubleshoot” ، “Advanced options” ، “Startup Settings” و سپس “Restart” را انتخاب نمایید. با فشردن کلید F5 سیستم‌عامل در حالت Safe Mode with Networking بوت می‌شود.
  • فایل دانلود شده را از حالت فشرده خارج نموده و برنامه Autoruns.exe را اجرا نمایید.
  • در برنامه Autoruns، در منوی “Options” تیک گزینه‌های “Hide Empty Locations” و “Hide Windows Entries” را برداشته و بر روی آیکن “Refresh” کلیک نمایید.
  • لیست نمایش داده شده توسط Autoruns را تیک دار نموده و محل بدافزار را پیدا کنید. نام و آدرس کامل بدافزار را یادداشت کنید. برخی از بدافزارها خود را درون یک فرآیند ویندوز مخفی می‌کنند. در این حالت مراقب باشید که فایل‌های سیستمی را حذف نکنید. پس از انتخاب برنامه مشکوک، با کلیک راست بر روی آن، گزینه “Delete” را انتخاب نمایید. پس از حذف بدافزار از این طریق، نام بدافزار را در ویندوز جستجو کنید. قبل از انجام این کار، حالت نمایش فایل‌ها و پوشه‌های مخفی را فعال کنید. در صورت یافتن بدافزار، اقدام به حذف آن کنید. سپس رایانه را به صورت معمول ری‌استارت کنید.
  • پس از طی کردن مراحل فوق، بدافزار از سیستم شما حذف خواهد شد. دقت داشته باشید که حذف دستی بدافزار نیازمند دانش تخصصی در زمینه کامپیوتر می‌باشد. در صورت لزوم از یک ضدبدافزار معتبر استفاده کنید. این روش برای حذف بدافزارهای پیشرفته کاربرد ندارد. مثل همیشه پیشگیری بهتر از درمان است. برای در امان ماندن از بدافزارها، همواره سیستم‌عامل و نرم‌افزارها را به‌روز نگه داشته و از آنتی‌ویروس معتبر استفاده نمایید.

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران

برای کسب اطلاعات بیشتر با ما تماس بگیرید

تازه ترین ها

آسیب‌ پذیری Spring4Shell
۱۴ فروردین ۱۴۰۱
حملات جدید بر ضد سیستم‌های ویندوزی با سواستفاده از یک Zero-Day!
۱۷ شهریور ۱۴۰۰
آسیب‌پذیری در برنامه کاربردی واتز اپ نسخه اندروید
۱۲ شهریور ۱۴۰۰
آسیب‌پذیری ‘ProxyToken’ به مهاجمان اجازه دستکاری تنظمیات Exchange Server را داده است!
۹ شهریور ۱۴۰۰
سرورهای Microsoft Exchange هدف حملات امنیتی قرار گرفته‌اند!
۲ شهریور ۱۴۰۰
Zero-Day جدید Print Spooler، کاربران ویندوز باز هم در معرض خطر هستند!
۲۳ مرداد ۱۴۰۰