شنبه ۳ آذر ۱۴۰۳ , 23 Nov 2024
جالب است ۰
طراحان فلیم احساس خطر کرده اند

شعله آتش خودش را خاموش می کند

اختصاصی افتانا
بررسی های سیمنتک نشان می دهد که مراکز فرمان بدافزار فلیم دستور حذف فایل های آلوده را از سیستم های آلوده شده صادر کرده اند.

بررسی های سیمنتک نشان می دهد که مراکز فرمان بدافزار فلیم دستور حذف فایل های آلوده را از سیستم های آلوده شده صادر کرده اند.

به گزارش افتانا (پایگاه خبری امنیت اطلاعات) ، این فرمان که از طریق معدود مراکز کنترل فلیم (C&C) که هنوز فعال هستند صادر شده،  به بدافزار فایلی به نام browse32.ocx را ارسال می کند که حاوی دستورات جدید است.

سیستم های دریافت کننده این فایل درواقع دستور حذف یا uninstall فلیم را از سیستم ها اجرا می کنند و دو فعالیت عمده را برنامه ریزی و اجرا می نمایند:

فعالیت EnableBrowser که شامل انجام تنظیمات اولیه برای اجرای فرآیند پاکسازی است.
فعالیت StartBrowse که اجزای مختلف فلیم را به طور واقعی حذف می نماید.

پس از شروع روند پاکسازی، فهرست مفصلی از فایل ها پاک شده و با بازنویسی هارددیسک با کاراکترهای تصادفی، امکان بازیابی آن ها به حداقل می رسد. ضمن آنکه با فعالیت مشابهی، امکان ردیابی فعالیت های انجام شده برروی سیستم نیز از بین می رود.

فهرست فایل های حذف شده عبارتند از:
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audcache
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audfilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlogh.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳aaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳afilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳asound.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴aaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴afilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴asound.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵aaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵afilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵asound.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mlcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaud.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\qpgaaux.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\srcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wavesup۳.drv
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\authcfg.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ctrllist.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\lmcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ntcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\posttab.bin
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\secindex.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\tokencpt
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dmmsap.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۲.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۳.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dommt.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\Lncache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ltcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscorest.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrol.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mspovst.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrovst.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrsysv.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msvolrst.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\nt۲cache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rdcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rmcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache۳.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\audtable.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\fmpidx.bin
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lmcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lrlogic
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixercfg.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixerdef.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\ntcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\sndmix.drv
%SystemDrive%\system۳۲\msglu۳۲.ocx
%SystemDrive%\Temp\~۸C۵FF۶C.tmp
%Temp%\~*
%Temp%\~a۲۸.tmp
%Temp%\~a۳۸.tmp
%Temp%\~DF۰۵AC۸.tmp
%Temp%\~DFD۸۵D۳.tmp
%Temp%\~DFL۵۴۲.tmp
%Temp%\~DFL۵۴۳.tmp
%Temp%\~DFL۵۴۴.tmp
%Temp%\~DFL۵۴۵.tmp
%Temp%\~DFL۵۴۶.tmp
%Temp%\~dra۵۱.tmp
%Temp%\~dra۵۲.tmp
%Temp%\~dra۵۳.tmp
%Temp%\~dra۶۱.tmp
%Temp%\~dra۷۳.tmp
%Temp%\~fghz.tmp
%Temp%\~HLV۰۸۴.tmp
%Temp%\~HLV۲۹۴.tmp
%Temp%\~HLV۴۷۳.tmp
%Temp%\~HLV۷۵۱.tmp
%Temp%\~HLV۹۲۷.tmp
%Temp%\~KWI۹۸۸.tmp
%Temp%\~KWI۹۸۹.tmp
%Temp%\~mso۲a۰.tmp
%Temp%\~mso۲a۱.tmp
%Temp%\~mso۲a۲.tmp
%Temp%\~rei۵۲۴.tmp
%Temp%\~rei۵۲۵.tmp
%Temp%\~rf۲۸۸.tmp
%Temp%\~rft۳۷۴.tmp
%Temp%\~TFL۸۴۸.tmp
%Temp%\~TFL۸۴۹.tmp
%Temp%\~ZFF۰۴۲.tmp
%Temp%\comspol۳۲.ocx
%Temp%\GRb۹M۲.bat
%Temp%\indsvc۳۲.ocx
%Temp%\scaud۳۲.exe
%Temp%\scsec۳۲.exe
%Temp%\sdclt۳۲.exe
%Temp%\sstab.dat
%Temp%\sstab۱۵.dat
%Temp%\winrt۳۲.dll
%Temp%\winrt۳۲.ocx
%Temp%\wpab۳۲.bat
%Temp%\wpab۳۲.bat
%Windir%\Ef_trace.log
%Windir%\Prefetch\Layout.ini
%Windir%\Prefetch\NTOSBOOT-B۰۰DFAAD.pf
%Windir%\repair\default
%Windir%\repair\sam
%Windir%\repair\security
%Windir%\repair\software
%Windir%\repair\system
%Windir%\system۳۲\advnetcfg.ocx
%Windir%\system۳۲\advpck.dat
%Windir%\system۳۲\aud*
%Windir%\system۳۲\authpack.ocx
%Windir%\system۳۲\boot۳۲drv.sys
%Windir%\system۳۲\ccalc۳۲.sys
%Windir%\system۳۲\commgr۳۲.dll
%Windir%\system۳۲\comspol۳۲.dll
%Windir%\system۳۲\comspol۳۲.ocx
%Windir%\system۳۲\config\default.sav
%Windir%\system۳۲\config\sam.sav
%Windir%\system۳۲\config\security.sav
%Windir%\system۳۲\config\software.sav
%Windir%\system۳۲\config\system.sav
%Windir%\system۳۲\config\userdiff.sav
%Windir%\system۳۲\ctrllist.dat
%Windir%\system۳۲\indsvc۳۲.dll
%Windir%\system۳۲\indsvc۳۲.ocx
%Windir%\system۳۲\lrl*
%Windir%\system۳۲\modevga.com
%Windir%\system۳۲\mssecmgr.ocx
%Windir%\system۳۲\mssui.drv
%Windir%\system۳۲\mssvc۳۲.ocx
%Windir%\system۳۲\ntaps.dat
%Windir%\system۳۲\nteps۳۲.ocx
%Windir%\system۳۲\pcldrvx.ocx
%Windir%\system۳۲\rpcnc.dat
%Windir%\system۳۲\scaud۳۲.exe
%Windir%\system۳۲\sdclt۳۲.exe
%Windir%\system۳۲\soapr۳۲.ocx
%Windir%\system۳۲\ssi*
%Windir%\system۳۲\sstab.dat
%Windir%\system۳۲\sstab۰.dat
%Windir%\system۳۲\sstab۱.dat
%Windir%\system۳۲\sstab۱۰.dat
%Windir%\system۳۲\sstab۱۱.dat
%Windir%\system۳۲\sstab۱۲.dat
%Windir%\system۳۲\sstab۲.dat
%Windir%\system۳۲\sstab۳.dat
%Windir%\system۳۲\sstab۴.dat
%Windir%\system۳۲\sstab۵.dat
%Windir%\system۳۲\sstab۶.dat
%Windir%\system۳۲\sstab۷.dat
%Windir%\system۳۲\sstab۸.dat
%Windir%\system۳۲\sstab۹.dat
%Windir%\system۳۲\tok*
%Windir%\system۳۲\watchxb.sys
%Windir%\system۳۲\winconf۳۲.ocx

همچنین چندین فولدر نیز به این ترتیب حذف می گردند که عبارتند از:
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix

براساس این گزارش، بدیهی است که بسیاری از سیستم ها این فایل را از مرکز کنترل بدافزار دریافت نمی کنند (به دلیل وجود شبکه های هانی نت در سر راه سرورها) ولیکن آن هایی که دریافت کننده هستند، همه فایل ها از جمله فایل مربوط به فرمان پاکسازی را به طور کامل حذف خواهند نمود.

گفتنی است تا لحظه تهیه این خبر، هنوز سایر شرکت های امنیتی در این خصوص اعلام نظر نکرده اند.
کد مطلب : 1553
https://aftana.ir/vdcf.tdyiw6dtmgiaw.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی