Iran Newspaper

مرکز افتا هشدار داد کشف بدافزار استخراج ارز با پردازشگر قربانیان

مرکــز مدیریت راهبردی افتای ریاســت جمهوری با اعالم خبر کشــف بدافــزار جدیــد کاوش ارز دیجیتال، نســبت به سوءاســتفا­ده ایــن نرمافــزار مخــرب از قــدرت پردازشــگر سیستم رایانهای قربانیان هشدار داد. بهگــزارش «ایران»، به تازگی آزمایشــگا­ه مک آفــی )McAfee( بدافزار جدیدی بــا نام ‪Web Cobra‬ را کشــف کرده که از قدرت پردازش سیســتم قربانیان برای کاوش ارز دیجیتالی استفاده میکند. بدافــزار ‪Web Cobra‬ بســته بــه نــوع معمــاری کــه تشــخیص دهــد، بهصورت مخفیانــه کاوشــگر Cryptonigh­t یــا ‪Claymore’s Zcash‬ را نصــب میکنــد. دامنه آلودگی این بدافزار در سراســر جهان در روزهای ۸۱ الی ۲۲ شــهریور بوده و بیشــترین آلودگیهــا مربــوط به کشــورهای برزیــل، آفریقای جنوبــی و ایاالت متحده اســت. منتقلکننــ­ده بدافزار، یک نصبکننده مایکروســا­فت اســت که محیط سیســتم را بررســی میکند. به نحوی که در سیســتمهای 6۸x کاوشــگر Cryptonigh­t نصــب میشــود و در سیســتمهای x64 کاوشــگر Claymore’s Zcash از یک ســرور راه دور، بارگیری و نصب میشــود. پس از آن در ادامه یک فایل CAB در سیســتم بارگذاری میشــود که حاوی بدنــه bin و یک فایل DLL برای رمزگشــایی بدنه اســت. بدنه بدافزار دارای قابلیتهای ضد دیباگ، ضد شبیهســازی و ضد محیطهای سندباکس اســت و از این رو، برای مدت طوالنی بهصورت ناشناخته در سیستم باقی میماند. در سیســتمهای 6۸x بدافــزار به فرآینــد پردازشــی svchost.exe نفوذ میکند و فرآینــد کاوش ارز را انجــام میدهــد. امــا در سیســتمهای x64 تنهــا در صورتی فرآیند کاوش ارز انجام میشــود کهWireshar­k در سیســتم شناســایی نشــود و پردازنده گرافیکی قربانی یکی از سه مدل ‪Radeon، Nvidia‬ و Asus باشد.