درب پشتی Yebot برای عملیات تخریب
درب پشتی Yebot برای عملیات تخریب
محققان امنیتی یک تروجان از نوع درب پشتی (Backdoor Trojan) کشف کرده اند که از قابلیت هایی زیادی برخوردار است. به این تروجان درب پشتی لقب Yebot داده شده است. این تروجان میتواند سیستم را آلوده کند و توسط هکر برای انجام فعالیت های مختلفی استفاده گردد.
این تروجان از طریق بدافزار های دیگر به کامپیوتر شما راه پیدا میکند و پس از اجرآ یک FTP و سرور پراکسی نصب میکند.بنابراین برای انتقال اطلاعات از کامپیوترهایی که احتمالآ بدافزارهای دیگر آلوده شده اند، استفاده میشوند. این یعنی بوجود آوردن یک تونل اطلاعاتی ما بین مجرمین سایبری و کامپیوترهای مختلف می باشد.
محققان بیان داشته اند که Yebot کد خود را به درون 4 پروسه ویندوز (svchost.exe, csrss.exe, lsass.exe ,explorer.exe) تزریق میکند و سپس نرم افزار های مخرب را نصب می کند. تمامی این عملیات نیز در حافظه سیستم انجام میشود.
از جمله توانایی های این تروجان به شرح ذیل است.
• اجرای یک سرور پراکسی Socks 5
• دسترسی راه دور به کامپیوتر از طریق پروتکل راه دور دسکتاپ (remote desktop protocol)
• برداشتن رمز عبور ها (keystrokes) و screenshots
• تزریق در وب
• متوقف سازی عملکرد های سیستمی (system functions)
• تغییر کد پروسه های در حال اجرآ
• جستجو برای کلید های رمز نگاری شده (private keys)
• به دست آوردن داده ها از عبارات باقاعده سازگار با پرل (Perl Compatible Regular Expressions) که یعنی دستیابی به تمامی عملکرد های مرتبط با جستجو در اینترنت
• پشتیبانی از plug-in های متفاوت که میتوانند عملکرد پیش فرض این تروجان را گسترش دهند.
سرورهای فرماندهی و کنترل (C&C) این تروجان با یک پارامتر paranoid کار میکنند که اگر آدرس IP درست نباشد و یا تعداد زیادی درخواست از یک IP دریافت شود آنرا در لیست سیاه قرار میدهد. این مورد برای محافظت از بدافزار در زمان عملیات بررسی و آنالیز توسط کارشناسان امنیتی کارایی دارد.
در نهایت Yebot برای فعالیت هایی مانند دزدی اطلاعات مالی و اجرآی معاملات کلاه برداری بکار میرود و یک بدافزار چند منظوره بشمار می آید.
درب پشتی Yebot برای عملیات تخریب
فایروال ایرانی، فایروال بومی، اکاننتینگ بومی، هلپ دسک بومی ، فایروال ایرانی، فایروال بومی، اکاننتینگ بومی، هلپ دسک بومی