بدافزار Gholee از طریق ایمیل و فایل وصله شده در آن، گسترش می یابد. این ایمیل با نام Operation Protective Edge.xlsb فرستاده می شود. هنگامی که فایل باز شد، پیامی نمایش داده می شود و کاربر را ترغیب می کند تا محتوای Macro را فعال کند. پس از آن، کاربر کاراکترهای مختلفی را می بیند.
به گزارش سایبربان، این فایل در 10 اگوست 2014 به Virus Total آپلود شد، اما هیچ یک از 52 آنتی ویروس نتوانستند آن را شناسایی کنند. 9 روز بعد دوباره آپلود شد و تنها آنتی ویروس Kaspersky آن را با نام Trojan-Dropper.MSExcel.Agent.ce شناسایی کرد.
این بدافزار تنها توسط یک آنتی ویروس شناخته شد! به دلیل ویژگی های خاص آن، محققان امنیتی اعلام کرده اند که افراد خبره ای در توسعه آن نقش داشته اند.
به منظور گریز از تشخیص آنتی ویروس ها، Gholee از کاراکترهای اسکی استفاده کرده است. فایل در قالب NTUSER.data.{GUIDE}.dll ذخیره می شود و در آن از تابع ShellExecte استفاده شده است تا توسط cmd.exe/C و Rundll32 اجرا شود. این روش باعث می شود تا پروسس های Gholee مخفی بماند.
Golee با سروری در کویت با IP 83.170.33.60 ارتباط برقرار می کند که صاحب آن شرکت آلمانی iABG Mbh است. این شرکت سرویس های ارتباطی ماهواره ای را عرضه می کند.
بدافزار از پورت SSL استفاده می کند که از اعتبارنامه دیجیتالی استفاده می کند که اعتبارش در سال 2010 تمام شده است. این اعتبارنامه برای شرکت امنیتی Core Security صادر شده بود.
بدترین پسوردهای سال ۲۰۱۴
دوشنبه 10 فروردین 1394 | بدون نظر
انتقال امن اطلاعات محرمانه
پنج شنبه 6 فروردین 1394 | بدون نظر
