آلما شبکه

اخیراً مشخص شده است که از ابتدای سال میلادی جاری بدافزاری به Laziok نام با بهره‌گیری از یک ضعف امنیتی قدیمی، سیستم‌های شرکت‌های فعال در بخش انرژی را مورد هدف قرار داده است.

به گزارش  شرکت امنیتی سیمانتک , این بدافزار نوعی ابزار شناسایی و جمع آوری اطلاعات است که نفوذگران را قادر می‌سازد تا تنظیمات و مشخصات سیستم قربانی را جمع‌آوری کرده و سپس بر اساس این اطلاعات، درباره ادامه اجرای عملیات نفوذ بر روی سیستم مورد نظر تصمیم‌گیری کنند.

 این تروجان نیز به نام "Trj/Genetic.gen" توسط موتورXMT سیمانتک شناسایی و قرنطینه می شود. البته بدیهی است که کاربران باید محصول ضد ویروس خود را بصورت روزانه و مستمر به روز رسانی نمایند تا بدافزار مذکور شناسایی و متوقف گردد.

این بدافزار چگونه عمل می کند؟

این عملیات مخرب با ارسال یک هرزنامه‌ (SPAM) از دامنه‌ای با نام moneytrans[.]eu آغاز می‌شود. به هرزنامه، یک فایل Excel که حاوی ابزار بهره‌جویی برای سوءاستفاده از ضعف امنیتی CVE-2012-0158 است، پیوست شده است.

در صورت آسیب‌ پذیر بودن سیستم قربانی به این ضعف امنیتی، با باز شدن فایل، دستگاه آلوده شده و فایل‌هایی هم‌نام پروسه‌های مجاز، اما در مسیری متفاوت، مطابق فهرست زیر ایجاد می‌شوند:

%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\search.exe

%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\ati.exe

%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\lsass.exe

%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\smss.exe

%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\admin.exe

%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\key.exe

%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\taskmgr.exe

%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\chrome.exe

در ادامه نام کامپیوتر، فهرست نرم‌افزارهای نصب‌شده، اندازه حافظه، اندازه دیسک سخت و نام ضدویروس مورد استفاده دستگاه توسط بدافزار Laziok جمع‌آوری و سپس به نفوذگران ارسال می‌شود.

به گزارش پایگاه خبری امنیت فناوری اطلاعات، نفوذگران نیز در صورت با ارزش تشخیص دادن سیستم، بر اساس ضدویروس شناسایی‌شده بر روی دستگاه قربانی، اقدام به ارسال بدافزارهایی سفارشی‌شده که قادر به فرار از سد آن ضدویروس خاص باشند، می‌کنند. بررسی‌ها نشان می‌دهد که این بدافزارها بر روی سرورهایی که در آمریکا، انگلستان و بلغارستان قرار دارند میزبانی می‌شوند.

عمده شرکت‌هایی که هدف بدافزار Laziok قرار گرفته‌اند در زمینه نفت، گاز و هلیوم فعالیت دارند که این موضوع نشان از علاقه گردانندگان این بدافزار به بخش انرژی دارد.

بیشترین آلودگی‌ها از کشورهای خاورمیانه و برخی از کشورهای غربی گزارش شده است. امارات متحده عربی با 25درصد بیشترین سهم را در آلودگی به این بدافزار دارد.

ضعفی امنیتی CVE-2012-0158 که در این حملات از آن استفاده شده است مربوط به بخش ActiveX Control در سیستم عامل Windows می‌شود و حدود سه سال قبل شناسایی و ترمیم شده است. در ماه میلادی آوریل 2012مدتی کوتاه پس از کشف شدن این نقطه ضعف، شرکت مایکروسافت اصلاحیه ای برای ترمیم آن منتشر کرد.

موفقیت این بدافزار نشان می‌دهد که پس از گذشت سه سال هنوز نیز تعداد زیادی دستگاه فاقد اصلاحیه های امنیتی لازم می‌باشند. از این ضعف امنیتی در حملات دیگری همچون Red October نیز استفاده شده است.

آلماشبکه پرداز نماینده فروش آنتی ویروس Symantec Endpoint Protection 12.1.5 در ایران

66419334

66932635

66932688

برای اطلاع از نحوه ارائه و لیست قیمت آنتی ویروس سیمانتک آمریکایی از وبگاه های آلماشبکه دیدن فرمایید.

www.almanet.ir

www.symantec-alma.com

www.almanetco.com

www.calwatt-alma.com

www.legrand-alma.com

www.trunking.ir