التحذير من رسالة بريد الكتروني تحمل ملفا بامتداد .js

السبت - 20 أغسطس 2016

Sat - 20 Aug 2016

سجلت شركة «إسيت» Eset خلال الأسبوع الماضي تحولا في سلوك برمجية تحميل الفيروسات «Nemucod» بالانتقال من تحميل برمجيات انتزاع الفدية إلى تحميل برمجية Kovter الخبيثة للضغط على الإعلانات.



ويبدو أن القائمين على برمجية تحميل الفيروسات سيئة السمعة قد تمادوا في اتخاذ خطوة إضافية في إطار سعيهم لإلحاق الضرر بالمستخدمين من خلال إرسال حزمة خبيثة متكاملة تتضمن برمجيات انتزاع الفدية، بالإضافة إلى برمجيات الضغط على الإعلانات.



ويستقبل المستخدم المستهدف رسالة بريد الكتروني مع مرفقات مصابة تحمل ملفا تنفيذيا من امتداد .js، وهو برمجية التحميل، وبعد فك الضغط والتشغيل، تحمل البرمجية خمسة ملفات في آن معا، ويعمل أول ملفين من هذه الملفات كبرمجيات للضغط على الإعلانات كبرمجيات Win32/‏Kovter وWin32/‏Boaxxe.



وتمتلك الملفات الثلاثة المتبقية هدفا واضحا للغاية يتمثل بالعثور على أهم الملفات وأكثرها قيمة على جهاز الكومبيوتر وتشفيرها، وثبتت Nemucod مترجم لغة PHP ومكتبة PHP إضافية (هذان الملفان لا يحتويان على أي فيروسات) من أجل تشغيل برمجية انتزاع الفدية.



ويتم تحميل فيروس تشفير الملفات PHP/‏Filecoder.D، عند اكتشاف «إسيت» للملف الثالث، ليبدأ بتنفيذ أنشطته الخبيثة باستخدام مفتاح تشفير ضمني موجود ضمن البرمجية الخبيثة.



ويتم نتيجة لذلك تشفير ملفات من 120 نوعا مختلفا من الامتدادات، ومن ضمنها ملفات «مايكروسوفت أوفيس» والصور والفيديو والملفات الصوتية وغيرها من الملفات التي تحصل جميعها على لاحقة «rypted».



وتبدأ برمجية Nemucod بعد إنهاء برمجية انتزاع الفدية لعملية تشفير الملفات بإنشاء ملف نصي يحتوي على رسالة طلب الفدية، وتتم إزالة مترجم لغة PHP والمكتبة المرفقة وبرمجية تشفير الملفات من النظام.



وتبين عند النظر إلى بقية الملفات الموجودة في الحزمة وجود برمجية Boaxxe التي تعد برمجية تسلل (backdoor) خاضعة للتحكم عن بعد وقادرة على تحميل وتشغيل أو تثبيت الإضافات في متصفحات الويب الشهيرة من أمثال «قوقل كروم» و»فايرفوكس».



وتبدأ برمجية حصان طروادة هذه الاتصال مع خادم أوامر وتحكم (C&C) بما يسمح للمشغل بإساءة استخدام الجهاز المصاب كخادم وكيل، وربما كوسيلة لإدراج إعلانات احتيالية أو زيادة حركة المرور لبعض المواقع المختارة.



كما لوحظ نشاط آخر مثير للاهتمام لبرمجية Nemucod خلال نهاية الأسبوع في أمريكا اللاتينية، حيث بدأت برمجية تحميل الفيروسات هذه إرسال كميات كبيرة من فيروس Win32/‏Spy.Banker.ADEA إلى المستخدمين البرازيليين.

الأكثر قراءة