یک بدافزار جدید با بهرهگیری از شرایط بهوجودآمده بهدلیل همهگیری ویروس کرونا (COVID-19)، از طریق جاینوشت رکورد راهانداز اصلی (MBR)، رایانهها را غیرقابل استفاده میکند.
اخیرا مجرمان سایبری بهطور گسترده و بهسرعت از بحران ویروس کرونا برای حملات مخرب خود از جمله فیشینگ، آلودگی با بدافزارها و امثال آنها بهرهبرداری کرده و حتی مهاجمان تحت حمایت دولتها نیز به این روند پیوستهاند. علاوهبر تروجانهای بانکی که کارکنان شرکتها را هدف قرار داده و بدافزارهای سرقت اطلاعات که تنها اطلاعات قربانیان صنایع مختلف را به سرقت میبرند، برخی از مهاجمان تهدیدهای مخربی همچون بدافزار پاککنندهی جدید را منتشر میکنند.
با اجرای این بدافزار، یک سری از فایلهای راهنما، از جمله یک فایل BAT که خود را بهعنوان «نصبکنندهی کوروناویروس» معرفی کرده و مسئولیت اکثر کارهای نصب را برعهده دارد، درون یک پوشهی موقت قرار داده میشوند. به گفتهی محققان امنیتی، این فایل پوشهای به نام COVID-19 را ایجاد و سپس، آن را به پوشهی قبلی منتقل میکند. این پوشه در حالت پنهان است تا آلودگی ایجادشده جلب توجه نکند.
پس از آن، فایل نصبکننده، Windows Task Manager و User Access Control (UAC) را غیرفعال میکند. همچنین، تصویر زمینهی دسکتاپ را تغییر داده و گزینههایی را نیز که امکان افزودن یا تغییر تصاویر پسزمینه را برای کاربر فراهم میکنند، غیرفعال میکند. سرانجام، بدافزار به قربانی اطلاع میدهد که نصب کامل شده و سیستم دوباره راهاندازی میشود.
سپس، برای اطمینان از بدون تغییر باقیماندن تغییرات رجیستری که قبلاً کار میکردند و نیز، تسهیل راهاندازی یک فایل اجرایی به نام «mainWindow.exe»، یک فایل دستهای ایجاد میشود. این فایل، در پنجرهای ساختار ویروس COVID-19 و دو گزینه را به نمایش میگذارد: یکی با نام «حذف ویروس»، که غیرکاربردی است، و دیگری با نام «کمک». زمانی که بر روی گزینهی کمک کلیک شود، به کاربر هشدار میدهد که رایانه آلوده شده است. پس از راهاندازی مجدد رایانه و پیش از آنکه یک نسخهی پشتیبان از MBR اصلی در بخش اول تهیه شود، یک باینری برای جاینوشت MBR اجرا میشود. در بخش دوم دیسک (صفحه)، پیامی تحت عنوان «ایجادشده توسط Angel Castillo. رایانهی شما آلوده (Trashed) شده است» نوشته شده است. این پيام پس از آغاز به کار رایانه، از طریق یک کد bootstrap برای قربانی نشان داده میشود.