Өнөөдрийн эхнээс өнөөг хүртэл JSOC CERT-ийн мэргэжилтнүүд Troldesh шифрлэх вирусын асар их хэмжээний хортой тархалтыг бүртгэж байна. Үүний функц нь шифрлэгчийнхээс илүү өргөн хүрээтэй: шифрлэлтийн модулиас гадна ажлын станцыг алсаас удирдах, нэмэлт модулиудыг татаж авах чадвартай. Энэ оны гуравдугаар сард бид аль хэдийн Тролдешийн тахлын тухай - дараа нь вирус IoT төхөөрөмж ашиглан түгээлтээ далдалсан. Одоо WordPress-ийн эмзэг хувилбарууд болон cgi-bin интерфейсийг үүнд ашиглаж байна.
Захидал нь өөр өөр хаягаас илгээгддэг бөгөөд захидлын үндсэн хэсэгт WordPress бүрэлдэхүүн хэсгүүдтэй эвдэрсэн вэб нөөцийн холбоосыг агуулна. Холбоос нь Javascript дээр скрипт агуулсан архивыг агуулж байна. Гүйцэтгэлийн үр дүнд Troldesh шифрлэгчийг татаж аваад ажиллуулж байна.
Хортой цахим шуудан нь хууль ёсны вэб нөөцийн холбоосыг агуулж байгаа тул ихэнх аюулгүй байдлын хэрэгслээр илрүүлдэггүй, гэхдээ вирусын эсрэг программ хангамж үйлдвэрлэгчдийн ихэнх нь ransomware-г илрүүлдэг. Анхаарна уу: Хортой програм нь Tor сүлжээнд байрлах C&C серверүүдтэй холбогддог тул халдвар авсан машинд нэмэлт ачааллын модулиудыг татаж авах боломжтой бөгөөд үүнийг "баяжуулж" болно.
Энэхүү мэдээллийн товхимолын зарим ерөнхий шинж чанарууд нь:
(1) мэдээллийн сэдвийн жишээ - "Захиалгын тухай"
(2) бүх холбоосууд гаднаасаа төстэй - тэдгээр нь /wp-content/ болон /doc/ гэсэн түлхүүр үгсийг агуулна, жишээ нь:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) хортой програм нь Tor-ээр дамжуулан янз бүрийн хяналтын серверт ханддаг
(4) файл үүсгэгдсэн. Файлын нэр: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun салбар дахь бүртгэлд бүртгэгдсэн (параметрийн нэр - Client Server Runtime Subsystem).
Бид таны вирусын эсрэг программ хангамжийн мэдээллийн сан шинэчлэгдсэн эсэхийг шалгаж, энэ аюулын талаар ажилтнууддаа мэдээлэх, мөн боломжтой бол дээрх шинж тэмдэг бүхий ирж буй захидалд тавих хяналтыг сайжруулахыг зөвлөж байна.
Эх сурвалж: www.habr.com