رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
1399-01-31 11:39
تنظیم اندازه قلم

پ

2:19
کد خبر: 147548

بدافزار تست کوید 19 رایانه های کاربران را در سرتاسر جهان غیرفعال می کند

بدافزار تست کوید 19 رایانه های کاربران را در سرتاسر جهان غیرفعال می کند

بدافزارهای اخیر به اسم COVID19 MBR به رایانه های دارای سیستم عامل ویندوز نفوذ می کند و آن ها را غیرفعال می کند.

محققان شرکت خصوصی SonicWall (که یک شرکت خصوصی که مقر آن در جزیره سیلیکون واقع شده است و طیف وسیعی از لوازم اینترنتی را که عمدتاً در جهت کنترل محتوا و امنیت شبکه است، را به فروش می رساند)به تازگی بدافزارهای جدیدی را کشف کرده اند که از نصب برنامه تست ویروس کرونا استفاده می کند تا کامپیوترها با جایگزینی کدهای مخرب به جای کدهای اصلی MBR (رکورد اصلی راه انداز سیستم عامل) سیستم عامل ویندوز قربانی را غیرقابل استفاده کند.

متاسفانه این تنها یکی از قبیل حملاتی است که مهاجمان و هکرها با شیوع اپیدمی کرونا قربانیان زیادی را با انواع بدافزارها در سراسر جهان آلوده کرده اند.

براساس مقالات منتشر شده توسط کارشناسان "تیم تحقیقاتی آزمایشگاه SonicWall اخیراً یک بدافزار جدید کشف کرده که با استفاده از برنامه تست اپیدمی کرونا اقدام به نوشتن کدهای مخرب به جای کدهای راه انداز سیستم عامل داخل حافظه کرده و هارد رایانه را غیرفعال می کند".

این بدافزار پس از ورود به رایانه قربانی مجموعه ای از پرونده های کمکی از جمله پرونده BTA را در قالب برنامه تست ویروس کرونا در یک پوشه موقت ایجاد می کند که باعث مختل شدن عملکرد ویندوز می شود.

cov1.png

پرونده BAT یک پوشه پنهان به نام 19 COVID- ایجاد می کند و سپس پرونده های ایجاد شده را در آن فهرست قرار می دهد.

پس از اتمام روند آلودگی، به فرد قربانی در یک پنجره تبلیغاتی اطلاع داده می شود.

cov2.png

این بدافزار مدیر وظیفه ویندوز User Access Control ‪(UAC)‬ را غیرفعال می کند. سپس تصویر پس زمینه دسک تاپ را تغییر داده و گزینه هایی را که به کاربر امکان افزودن یا تغییر پس زمینه دسک تاپ را می دهد غیرفعال می کند.

این بدافزار با استفاده از مدخل های رجیستری تداوم و به دیگر رایانه ها انتقال می یابد.

بدافزار پس از اجرای پرونده MainWindow.exe پنجره ای را نشان می دهد که ساختار ویروس کرونا را با دو دکمه "حذف ویروس" و دکمه "راهنما" نشان می دهد.

cov3.png

اگر قربانی بر روی دکمه "راهنما" کلیک کند، بدافزار گزارش می دهد که کامپیوتر آلوده شده است. در مقابل ، دکمه "حذف ویروس" غیرفعال می شود.

پس از راه اندازی مجدد سیستم عامل، یک کد باینری برای جایگزینی MBR اصلی حافظه ویندوز اجرا می شود. این بدافزار پیامی با متن "رایانه شما حذف شد" را به بخش 2 دیسک با پیام "ایجاد شده توسط آنجل کاستیلو" ارسال می کند.

cov4.png

ترجمه: حسین موالی

 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط