کمیته رکن چهارم – غول امنیتی ترندمیکرو ( عرضه کننده ژاپنی سرویسها و نرم افزارهای امنیتی و آنتی ویروس ) در وبلاگ خود توضیحاتی درباره تروجان جدید و پیچیده ای با نام URSNIF منتشر نموده است .
به گزارش کمیته رکن چهارم – ویروس چند وجهی و پیچیده URSNIF شامل بخشهای زیر است :
– بکدور BKDR_URSNIF.SM
– جاسوس افزار TSPY_URSNIF.YNJ
و آلوده کننده فایلی که با نام PE_URSNIF.A-O شناسایی می شود .
اولین نمونه های آلودگی به ویروس URSNIF در دسامبر ۲۰۱۴ در آمریکای شمالی مشاهده شد .
ویروس URSNIF در ابتدا به طور معمول فایلها را آلوده می کند و به فایلهای قربانی می چسبد .
فایلهای PDf , MSI و exe از جمله فایلهایی است که مورد حمله این ویروس قرار میگیرند و به ترتیب با عناوین زیر شناسایی می شوند:
*.PDF (detected as PE_URSNIF.A-O)
*.MSI (detected as PE_URSNIF.A1)
*setup*.exe (detected as PE_URSNIF.A2)
ولی در فبریه ۲۰۱۵ نمونه های جدیدتری از ویروس URSNIF نیز مشاهده شد که میتوان به PE_URSNIF.B و PE_URSNIF.BO اشاره نمود .
این ویروس سپس به صورت پنهان فایلهایی را بر روی سیستم و بخشهایی از رجیستری کپی میکند که میتوان به cmdlnsta.exe و cmdl32.exe و
rwinsta.exe اشاره نمود که همانطور که میبینید برخی نامها در ظاهر با مشخصات فایلهای قانونی و مشروع یکی است .
همچنین ویروس URSNIF رشته ای را در پروسس ها نزریق میکند و خود رابه حافظه منتقل میکند تا اسکنرهای حافظه قادر به شناسایی آن نباشند .
ولی پیشرفت ویروس URSNIF به همینجا ختم نشد و در مارس ۲۰۱۵ دوباره نمونه های جدیدتری از این ویروس شناسایی شد که هم اکنون با نامهای PE_URSNIF.EO و PE_URSNIF.E شناسایی و نامگذاری شده اند .
این ویروسها نیز عمدتآ اسناد و فایلهای شرکت ماکروسافت را هدف قرار داده و آلوده میکنند .
URSNIF: The Multifaceted Malware
منبع:رسانه خبری امنیت اطلاعات
