کمیته رکن چهارم – W97M/Downloader و X97M/Downloader بدافزارهایی هستند که از طریق دستورات ماکرو (Macro)های مخرب، بدافزارهای دیگری را دریافت و اجرا می کنند.
به گزارش کمیته رکن چهارم،تفاوت پیشوند این دو بدافزار در این است که W97M مربوط به فایل های doc و docx می شود و W97X مربوط به فایل های با پسوندهای xls و xlsx.
آخرین گونه این دو بدافزار در ۲۵ خرداد امسال کشف و شناسایی شده است.
این بدافزارها معمولاً از طریق فایل های پیوست شده به ایمیل های ناخواسته (هرزنامه یا spam) منتشر می شوند. این فایل ها، حاوی فرامین ماکروی مخرب هستند.
برای فریب کاربرانی که قابلیت Macro در نرم افزارهای Word یا Excel آنها غیر فعال است، اقدام به نمایش پیام هایی فریب دهنده، مشابه شکل زیر، می شود تا آنها تشویق به فعال نمودن Macro شوند.با اجرا شدن فرامین ماکرو، فایل های آلوده بیشتری دریافت و بر روی سیستم قربانی اجرا می شوند.
عبارات زیر نمونه هایی از موضوع (Subject) ایمیل های هرزنامه هستند که این بدافزارها به آنها پیوست بوده اند:
– Transaction is completed # 53758807
– Bank Payments
– La factura 5461
– INVYW419743E Duplicate Payment Received
– INVOICE 224245 from Power EC Ltd
– Thank you for your donation to The ALS Association
– Investment project
– Pixmania.com payment order detail
– Job Application
نام فایل های پیوست در برخی نمونه های مشاهده شده بشرح زیر بوده است:
– Reply[number].zip
– ۲۰۱۴_۱۱_۰۷_۱۴_۰۹_۱۹٫doc
– Reply[number].doc
– De_YW419743E.doc
– ۲۲۴۲۴۵٫doc
– Donation_form.doc
– Project.doc
– Payment order details.doc
– Resume.doc
همچنین فایل های مخرب این بدافزارها با نام ها و در مسیرهای زیر ذخیره می شوند:
– C:\JGSNUWKJRFC.exe
– %Temp%\CWRSNUYCXKL.exe
– %Temp%\YVXBZJRGJYE.exe
– %Temp%\OjuexVzhTjcrT.exe
– %Temp%\putty.exe
– C:\DFJ\test.exe
– %Temp%\XEVEWGFELBL.exe
– %Temp%\test00010.exe
– %AppData%\service\service.exe
– %AppData%\fdataupdate.com
– %TEMP%tryewdgh.exe
گونه های مختلف این بدافزار با نام های زیر شناسایی و پاکسازی می شوند:
– W97M/Downloader.[variant name]
– X97M/Downloader.[variant name]
منبع:رسانه خبری امنیت اطلاعات