بدافزار Phorpiex بدافزار جدیدی نیست و تقریباً ده سال است که فعال می باشد و تاکنون بیش از صدها هزار کامپیوتر را آلوده کرده است.
بدافزار Phorpiex درایوهای قابل حمل و شبکه را آلوده می کند.
بدافزار Phorpiex نوعی کرم است که از طریق درایوهای قابل حمل و همچنین درایوهای شبکه پخش می شود. برخی مواقع این بدافزار، crypto miner را نیز دانلود و اجرا می کند. بدافزاری که برای هک آدرس تراکنش های رمز ارز بکار می رود.
بدافزار Phorpiex معمولاً از طریق یک درایو قابل حمل یا مشترک آلوده منتشر یا پخش می شود. همچنین اگر سرور وب را آلوده کند می تواند از طریق دانلودها به راحتی منتشر شود.
بدافزار Phorpiex پس از اجرا شدن وجود یک محیط مجازی (virtual) یا اشکال زدایی (debugging) را بررسی می کند. اگر چنین محیطی را تشخیص دهد، خود به خود به کارش خاتمه می دهد. با بررسی یکی از dllهای زیر به این نتیجه می رسد که آیا در محیط اشکال زدایی قرار دارد یا خیر:
sbiedll.dll, sbiedllx.dll, dir_watch.dll, wpespy.dll, wine_get_unix_file_name
اگر تشخیص نداد که در یک محیط مجازی است یک کلید رجیستری به سیستم اضافه می کند تا بتواند روی دستگاه باقی بماند. همچنین یک mutex* اضافه می کند تا مطمئن شود که فقط یک نمونه از خودش در حال اجرا است.
در مرحله بعد Phorpiex شروع به آلوده کردن درایوهای قابل جابجایی و مشترک می کند. همچنین سعی می کند به سرورهای فرمان و کنترل(C&C) متصل شود تا بدافزار دیگری را دانلود و اجرا کند(درباره ی این سرورها بارها توضیح داده شد).
این کرم همچنین میتواند با غیرفعال کردن ویژگیهای امنیتی، امنیت سیستم را به خطر بیندازد.
تکثیر بدافزار Phorpiex
هنگامی که بدافزار Phorpiex در یک کامپیوتر وجود داشته باشد میتواند با آلوده کردن هر درایو شبکه قابل دسترس یا دستگاههای ذخیرهسازی قابل حمل متصل شده به سیستم، کپیهایی از فایل مخرب خود را منتشر یا پخش کند. برخی از انواع این بدافزار نیز با به خطر انداختن سرورهای وب می توانند بازدیدکنندگان سایت را در معرض خطر قرار دهند.
بدافزار Phorpiex برای انتشار خود اقدامات زیر را انجام می دهد:
1-همه ی دستگاه های قابل حمل متصل به سیستم را شناسایی می کند.
2-در دستگاه های قابل حمل متصل به سیستم، یک پوشه جدید (با ویژگی های مخفی و سیستمی) ایجاد می کند و خود را در پوشه کپی می کند.
3-یک فایل Autorun.inf را در پوشه مخفی ایجاد می کند.
4-تمام پوشهها و فایلها را در فهرست اصلی قرار می دهد:
-همه پوشه ها و فایل ها را به پوشه ایجاد شده جدید منتقل می کند.
-فایل های با پسوند زیر را حذف می کند:
- .lnk, .vbs, .js, .scr, .com, .jse, .cmd, .pif, .jar, .dll
-یک شورت کات برای دستگاه ایجاد می کند.
فایل های ایجاد شده
بدافزار Phorpiex یک کپی از خود را در آدرس های زیر ایجاد می کند:
- %windir%\5060077904302040\winsvcs.exe
- %userprofile%\5060077904302040\winsvcs.exe
- %appdata%\5060077904302040\winsvcs.exe or
- %temp%\5060077904302040\winsvcs.exe
Phorpiex همچنین این فایل ها را روی سیستم آلوده حذف می کند:
- %temp%\5060077904302040\Windows Archive Manager.exe
- %appdata%\winsvcs_.txt
تغییرات رجیستری
بدافزار Phorpiex کلید رجیستری زیر را اضافه می کند تا بتواند به طور خودکار در هنگام راه اندازی اجرا شود:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ : [path of the newly copied file of itself]\5060077904302040\winsvcs.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ : [path of the newly copied file of itself]\5060077904302040\winsvcs.exe
فعالیت شبکه
با URL هایی که با لیستی از دامنه های سطح بالا (TLD) و پارامترها تعریف می شوند به یکی از سرورهای زیر متصل می شود:
- hxxp://92.63[.]197.48/
- hxxp://afeifieuuufufufuf.[TLD]
- hxxp://aiiaiafrzrueuedur.[TLD]
- hxxp://eiifngjfksisiufjf.[TLD]
- hxxp://eofihsishihiursgu.[TLD]
- hxxp://eoroooskfogihisrg.[TLD]
- hxxp://fifiehsueuufidhfi.[TLD]
- hxxp://fiiauediehduefuge.[TLD]
- hxxp://fuaiuebndieufeufu.[TLD]
- hxxp://iuirshriuisruruuf.[TLD]
- hxxp://nnososoosjfeuhueu.[TLD]
- hxxp://noeuaoenriusfiruu.[TLD]
- hxxp://nousiieiffgogogoo.[TLD]
- hxxp://slpsrgpsrhojifdij.[TLD]
- hxxp://srndndubsbsifurfd.[TLD]
- hxxp://ssofhoseuegsgrfnu.[TLD]
بجای TLD در دامنه های بالا ممکن است یکی از پسوندهای دامنه زیر قرار بگیرد:
- .biz, .com, .in, .info, .net, .su, .ru
پیشگیری از نصب بدافزار Phorpiex
-لینک هایی که در ایمیل ها قرار دارد و از آدرس های ناشناس و مشکوک دریافت می شوند را باز نکنید.
-نرم افزارها را باید تنها با استفاده از لینک های مستقیم و وب سایت های معتبر و رسمی دانلود شود.
-بروز رسانی نرم افزار نصب شده باید از محل های معتبر و قابل اطمینان انجام شود.
-آنتی ویروس معتبر نصب کنید و به طور مرتب کامپیوتر را با آن اسکن کنید.
*در برنامه نویسی کامپیوتری mutex یک object است. دلیل ایجاد یک mutex این است که برنامه های متعدد بتوانند به نوبت یک منبع را به اشتراک بگذارند؛ مانند دسترسی به یک فایل.
منابع:
f-secure.com
howtofix.guide
securityaffairs.co
microsoft.com
bitmat.it