ازکارافتادن سيستم در تلاش برای حذف گونه‌ی جديد بدافزار WinstarNssmMiner

دوشنبه ۰۷ خرداد ۱۳۹۷
محققان Qihoo 30، نوع جدیدی کاونده‌ی ارز رمزمبنا کشف کردند که هنگام حذف توسط ضدویروس، موجب ازکارافتادن سیستم خواهد شد.
مرکز آپا شریف
SUT-APA-LOGO

محققان در Qihoo 30، نوع جدیدی کاونده‌ی ارز رمزمبنا کشف کردند که هنگام حذف آن توسط نرم‌افزار ضدویروس، موجب ازکارافتادن سیستم خواهد شد.
این بدافزار که “WinstarNssmMiner” نامیده می‌شود، یک تروجان مخرب است که به تبلیغ‌افزارها و بدافزارهای بسیاری متصل است تا کاربر را برای دریافت پول فریب دهد و اطلاعات شخصی او ‌را به‌سرقت ببرد. هنگامی‌که این بدافزار وارد رایانه‌ی کاربر می‌شود، مرورگر وب سیستم را در اختیار می‌گیرد و آن ‌را به یک کارگزار راه دور متصل می‌کند تا تبلیغات و پاپ‌‌آپ‌های فراوانی را در معرض نمایش کاربر قرار دهد و او را وادار به کلیک‌کردن بر روی یکی از آن‌ها کند.
کاونده‌ی ارز رمزمبنای WinstarNssmMiner ممکن است مرورگر وب کاربر را برای نظارت بر فعالیت‌های برخط او به سرقت ببرد و اطلاعات مهم و شخصی را برای هکرهای راه دور ارسال کند. کاربر می‌تواند این بدافزار را با یک نرم‌افزار ضدویروس یا ضدبدافزار از بین ببرد؛ اما گونه‌ی جدید WinstarNssmMiner متفاوت است و هنگامی‌که کاربر تلاش می‌کند تا آن را از سیستم حذف کند، موجب ازکارافتادن سیستم خواهد شد.
این بدافزار تاکنون بیش از 19700 یورو، معادل 133 توکن استخراج کرده است. به‌علاوه موفق شده است به حدود نیم‌میلیون سیستم حمله کند.
اساس WinstarNssmMiner، کاونده‌ی متن‌باز XMRig است که با ایجاد دو فرایند سیستمی “svchost.exe” عمل می‌کند (یکی برای انجام کاوش و دیگری برای جلوگیری از تشخیص نرم‌افزار ضدویروس). در مرحله‌ی اول، این بدافزار که با هدف استخراج ارز Monero طراحی شده است، تلاش می‌کند تا ارز رمزنگاری‌شده را با تزریق کد مخرب به یکی از فرآیندهای “svchost.exe”، استخراج کند و سپس ویژگی‌های خود ‌را در “CriticalProcess” تنظیم‌ می‌کند، به‌طوری‌که هر تلاش برای پایان دادن به آن، باعث ازکارافتادن سیستم شود.
WinstarNssmMiner سیستم‌های هدف را برای یافتن محصولات ضدویروس بررسی می‌کند و در صورت یافتن نرم‌افزارهای قدرتمندی همچون کسپرسکی و Avast، به‌صورت خودکار فعالیت خود را متوقف می‌سازد؛ اما درصورتی‌که ضدویروس ضعیف‌تری بر روی سیستم نصب شده باشد، این بدافزار کار خود را ادامه می‌دهد. اگر کاربر تلاش کند تا از طریق Task Manager ویندوز، پردازش‌های آن را متوقف کند، این کار غیرممکن است؛ چراکه باعث بروز خطای صفحه آبی می‌شود و به راه‌اندازی مجدد سیستم نیاز خواهد بود. بنابراین عملاً کاربر نمی‌تواند این بدافزار را متوقف کند.
طبق تحلیل‌های انجام‌شده، این بدافزار در سطح جهانی در حال شیوع است و تنها راه مطمئن برای مصون‌ماندن از آن، نصب تمامی وصله‌های امنیتی ارایه‌شده برای سیستم‌عامل مورداستفاده‌ی کاربر و نصب یک ضدویروس قدرتمند است.