کرم جدیدی که در اواسط ماه نوامبر توسط محققان ترندمیکرو کشف شد و در حال حاضر با شناسهی Worm.Win32.BLADABINDI.AA ردیابی میشود، از درایوهای قابلحمل برای توزیع درب پشتی BLADABINDI که نوعی از بدافزارهای بدونفایل است، استفاده میکند. از آنجایی که این کرم خود را بهصورت پنهان بر روی هر درایو قابلحمل متصل به سیستم آلوده نصب میکند، محققان ترندمیکرو احتمال میدهند که ممکن است بهوسیلهی درایوهای قابلحمل به یک سیستم وارد شده و انتشار یابد.
همچنین محققان متوجه شدند که این کرم از نرمافزار برنامهنویسی AutoIt برای کامپایل بار داده و اسکریپت اصلی به یک فایل اجرایی استفاده کرده است که شناسایی آن را پیچیدهتر میکند. به کمک دیکامپایلر اسکریپت AutoIt، محققان دریافتند که این کرم از یک ثبتنام خوداجراشونده برای بارگذاری فایل اجرایی رمزنگاری شده از حافظه و بهعنوان یک تهدید بدونفایل به کمک پاورشل استفاده میکند.
فایل اجرایی بارگذاریشده، نوعی از درب پشتی BLADABINDI است که از پورت ۱۱۷۷ برای اتصال به سرور دستور و کنترل (C&C) خود در آدرس water-boom[.]duckdns[.]org استفاده میکند. این نشانی وب با استفاده از یک سیستم نام دامنه (DNS) پویا به مهاجمان اجازه میدهد تا نشانی پروتکل اینترنتی خود را تغییر داده و یا بهروز کنند. پس از ایجاد یک فایروال به کمک پاورشل، درب پشتی BLADABINDI مهاجمان را قادر میسازد تا یک کیلاگر را فعال کند، فایلها را اجرا کرده و گواهینامهها را از مرورگرهای وب به سرقت ببرد.
محققان ترندمیکرو تهدید ایجادشده توسط درب پشتی BLADABINDI را کماهمیت جلوه ندادهاند. به گفتهی آنها بار داده، روش انتشار و فعالیت این درب پشتی در سیستمهای آسیبدیده، تهدیدی بسیار مهمی برای کاربرها و بهویژه کسبوکارهایی است که هنوز از رسانههای قابلحمل در محل کار خود استفاده میکنند. بنابراین، به آنها توصیه کردهاند تا نکات ایمنی را رعایت کنند.
منبع
