کمیته رکن چهارم – شرکت مکآفی از شناسایی باجافزار جدیدی با عنوان Anatova خبر داده که با جا زدن خود بهعنوان یک بازی کامپیوتری کاربر را تشویق به اجرای آن میکند.
Anatova برنامهای با معماری ۶۴ بیتی است که در اولین روز سال میلادی جاری کامپایل شده است.
این باجافزار که مکآفی، نویسنده یا نویسندگان آن را حرفهای توصیف کرده است از روشهای متعددی برای مخفی کردن خود از دید محصولات امنیتی و تحلیلگران بدافزار استفاده میکند. از جمله این روشها میتوان به موارد زیر اشاره کرد:
- بسیاری از بخشهای کد، توسط کلیدهای مختلف رمزگذاری شده است.
- ۹۰ درصد از فراخوانیهای Anatova بهصورت پویا انجام میشود.
- از توابع معمول سیستم عامل و کتابخانههای استاندارد زبان برنامهنویسی C بهره گرفته شده است.
- در صورتی که نام کاربری سیستمی که به این باجافزار آلوده شده است معادل LaVirulera،و Tester،و Analyst،و Lab و Malware باشد، Anatova اجرای خود را متوقف میکند. مشخص است که استفاده از چنین نامهای کاربری میان تحلیلگران بدافزار کاری رایج و متداول محسوب میشود.
هدف Anatova نیز همانند سایر باجافزارها رمزگذاری فایلهای کاربر و پوشه های اشتراکی و اخاذی در ازای آن چه که نویسندگان آن بازگرداندن فایلها به حالت اولیه میخوانند است. مبلغ اخاذی شده در این نسخه ۱۰ دَش معادل حدود ۳ میلیون تومان است.
این باجافزار از اجرا شدن بر روی سیستم کاربران هر یک از کشورهای زیر خودداری میکند:
- کشورهای مستقل مشترکالمنافع
- سوریه
- مصر
- عراق
- مراکش
- هند
شناسایی کشور کاربر از طریق بررسی زبان فعال شده بر روی سیستم عامل دستگاه او صورت میپذیرد.
همچنین این باجافزار ضمن استخراج عنوان پروسههای اجرا شده، آنها را با فهرست خود مقایسه کرده و در صورت شناسایی هر یک از آنها آن را متوقف میکند. دلیل این اقدام آزاد کردن دسترسی به فایلهایی نظیر فایلهای بانک داده است که در هنگام فعال بودن توسط برای مثال نرمافزار SQL Server امکان رمزگذاری آنها فراهم نمیباشد.
فایلها و پوشههای ذخیره شده در پوشههای با نامهای زیر استثنا شده است:
- Windows
- Program Files
- Program Files(x86)
به همین ترتیب فایلهای با پسوندهای exe،و dll یا sys مورد دستدرازی Anatova قرار نمیگیرند.
گزارش تحلیلی مکآفی در خصوص این باجافزار در مسیر زیر قابل دریافت و مطالعه است:
