بدافزار ویروس کرونا از طریق جای‌نوشت رکورد راه‌انداز اصلی، دستگاه‌ها را غیرقابل استفاده می‌کند

یک بدافزار جدید با بهره‌گیری از شرایط به‌وجودآمده به‌دلیل همه‌گیری ویروس کرونا (COVID-19)، از طریق جای‌نوشت رکورد راه‌انداز اصلی (MBR)، رایانه‌ها را غیرقابل استفاده می‌کند.

اخیرا مجرمان سایبری به‌طور گسترده‌ و به‌سرعت از بحران ویروس کرونا برای حملات مخرب خود از جمله فیشینگ، آلودگی با بدافزارها و امثال آن‌ها بهره‌برداری کرده و حتی مهاجمان تحت حمایت دولت‌ها نیز به این روند پیوسته‌اند. علاوه‌بر تروجان‌های بانکی که کارکنان شرکت‌ها را هدف قرار داده و بدافزارهای سرقت اطلاعات که تنها اطلاعات قربانیان صنایع مختلف را به سرقت می‌برند، برخی از مهاجمان تهدیدهای مخربی همچون بدافزار پاک‎کننده‌ی جدید را منتشر می‌کنند.

با اجرای این بدافزار، یک سری از فایل‌های راهنما، از جمله یک فایل BAT که خود را به‌عنوان «نصب‌کننده‌ی کوروناویروس» معرفی کرده و مسئولیت اکثر کارهای نصب را برعهده دارد، درون یک پوشه‌ی موقت قرار داده می‌شوند. به گفته‌ی محققان امنیتی، این فایل پوشه‌ای به نام COVID-19 را ایجاد و سپس، آن را به پوشه‌ی قبلی منتقل می‌کند. این پوشه در حالت پنهان است تا آلودگی ایجادشده جلب توجه نکند.

پس از آن، فایل نصب‌کننده، Windows Task Manager و User Access Control (UAC) را غیرفعال می‌کند. همچنین، تصویر زمینه‌ی دسکتاپ را تغییر داده و گزینه‌هایی را نیز که امکان افزودن یا تغییر تصاویر پس‌زمینه را برای کاربر فراهم می‌کنند، غیرفعال می‌کند. سرانجام، بدافزار به قربانی اطلاع می‌دهد که نصب کامل شده و سیستم دوباره راه‌اندازی می‌شود.

سپس، برای اطمینان از بدون تغییر باقی‌ماندن تغییرات رجیستری که قبلاً کار می‌کردند و نیز، تسهیل راه‌اندازی یک فایل اجرایی به نام «mainWindow.exe»، یک فایل دسته‌ای ایجاد می‌شود. این فایل، در پنجره‌ای ساختار ویروس COVID-19 و دو گزینه را به نمایش می‌گذارد: یکی با نام «حذف ویروس»، که غیرکاربردی است، و دیگری با نام «کمک». زمانی که بر روی گزینه‌ی کمک کلیک شود، به کاربر هشدار می‌دهد که رایانه آلوده شده است. پس از راه‌اندازی مجدد رایانه و پیش از آن‌که یک نسخه‌ی پشتیبان از MBR اصلی در بخش اول تهیه شود، یک باینری برای جای‌‌نوشت MBR اجرا می‌شود. در بخش دوم دیسک (صفحه)، پیامی تحت عنوان «ایجادشده توسط Angel Castillo. رایانه‌ی شما آلوده (Trashed) شده است» نوشته شده است. این پيام پس از آغاز به ‌کار رایانه، از طریق یک کد bootstrap برای قربانی نشان داده می‌شود.

منبع

پست‌های مشابه

Leave a Comment