فعالیت دوباره بدافزار StealRat‎

طبق بررسی های انجام شده از مراکز معتبر، بدافزار(Malware) به نام Stealrat مجددا فعال شده است..!

این بدافزار در سال گذشته در سایت های با مدیریت محتوای جوملا و وردپرس وجود داشته است که اکنون مجدد فعالیت خود را شروع کرده است.

نوع جدید این بدافزار بیشتر در هاست وردپرس و هاست های داخلی مشاهده شده است.

Stealrat یک بات نت انتشار اسپم میباشد که از روشی جدید برای ارسال اسپم استفاده میکند. روش این بدافزار به شرح زیر است:

– اطلاعات اسپم از قبیل نام فرستنده، نام گیرنده و محتوای ایمیل اسپم را جمع آوری میکند و این اطلاعات را از طریق سیستم آلوده به بدافزار stealrat برای سایت قربانی ارسال میکند.

– کاربران را ترغیب به کلیک بر روی ایمیل اسپم میکند تا کاربران به سایت قربانی دوم هدایت شوند.

– در وب سایت دوم نیز لینک هایی وجود دارد که شامل صفحاتی هستند که کاربر را به کلیک بر روی آنها ترغیب میکند.

در واقع ایمیل اسپم حاوی بدافزار نیست و ارتباط بین این دو قابل مشاهده نیست.

از اقدامات جالب این بدافزار این است که برای پنهان کردن ترافیک شبکه خود، نام دامنه را به google.com تغییر میدهد. اشتراک سایت های آلوده به این بدافزار استفاده از برنامه های آسیپ پذیر جوملا و وردپرس است.

روش شناسایی این بدافزار در سایت:

مدیران این سایت ها برای بررسی سایت خود لازم است ابتدا اسکریپت های اسپمر را شناسایی کنند. بهتر است هر فایل ناآشنای PHP بررسی شود.

نام فایل هایی که تابحال شناسایی شده اند به صورت زیر است:

۱-copy.php

۲-up.php

۳-Del.php

۴-path.php

۵- bak.php

۶-utf.php

۷-bannerEB3Y.php

۸-returnMoCo.php

۹-sitemapuuA.php

۱۰-themesqx10.php

ترندمیکرو طی تحقیقات خود ۸۵۰۰۰ آدرس آی‌پی و دامنه‌ی منحربه ‌فرد را شناسایی کرده است که برای ارسال اسپم در یک دوره‌ی یک‌ ماهه مورد استفاده قرار گرفته‌اند. هر کدام از این دامنه‌ها به طور متوسط شامل دو اسکریپت اسپمر هستند. حداقل ۸۶۴۰ اسپم روزانه از سایت آلوده به افراد ارسال می‌شود. ارسال‌کنندگان اسپم در حال حاضر حدود ۷ میلیون آدرس ایمیل را هدف قرار داده‌اند.

تدوین و گردآوری: حبیبه سورانی

رتبه: 4.8 از 966 رأی

برچسب ها :

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *