پس از اینکه خانوادهی بدافزارهای Xpiro مدتی را در خاموشی سپری کردهاند، این بدافزارها این بار با سر و صدای زیاد و البته قابلیتهای بیشک خطرناکی بازگشتهاند.
در نمونههای قدیمی از این بدافزار، فقط پروندههای ۳۲ بیتی آلوده میشدند، اما اینبار دامنهی فعالیتهای این نمونه از بدافزار گسترش پیدا کرده و پروندههای ۶۴ بیتی را نیز آلوده میکند. گسترهی این آلودگی مبتنی بر معماری خاصی نیست، یعنی یک نمونهی ۳۲ بیتی از بدافزار Xpiro میتواند یک پروندهی اجرایی ۶۴ بیتی را آلوده کند و برعکس. البته این بدافزار قابلیتهای سرقت دادهها از رایانههای قربانی را نیز بهبود بخشید است و با اضافه کردن افزونههای مرورگرهای فایرفاکس و کروم میتواند بر نشستهای این مرورگرها نظارت داشته باشد. آلودگی مستقل از معماری و ماندگاری بدافزار اگرچه قبلاً نیز بدافزارهایی مشاهده شدهاند که قابلیت آلودهسازی چندین نوع معماری را داشتهاند، اما هیچیک مانند بدافزار Xpiro به صورت گسترده منتشر نشدهاند. نمونهی جدید این بدافزار قابلیت آلودهسازی معماریهای زیر را دارد:
- Intel 386 (32-bit)
- Intel 64 (64-bit)
- AMD64 (64-bit)
البته لازم به ذکر است که پروندههای Intel64 آلوده میشوند، اما به دلیل خطایی که در کد بدافزار وجود دارد این آلودگی کامل نیست و پروندهها فقط دچار تغییر میشوند و به گزارش سیمنتک این پروندهها را میتوان به حالت اولیه و وضعیت بدون آلودگی تبدیل کرد. در نمونههای قدیمیتر، معمولاً پروندههای آلودهساز توانایی داشتند که سایر پروندههای اجرایی را آلوده سازند و اهمیتی به تداوم گسترش آلودهسازی داده نمیشد. اما این نمونه بدافزار از یک روش دقیق برای رسیدن به تداوم آلودهسازی و عمل آلودهسازی به طور همزمان استفاده میکند. در ابتدا این بدافزار سعی میکند، تمامی پروندههای خدمات Win32 را بشمارد و تلاش کنند تمامی این پروندهها را آلوده سازد. سپس تمامی پروندههای پیوند (lnk) در میز کار کاربر و همچنین پوشههای منوی شروع (Start Menu) هدف آلودهسازی این بدافزار قرار میگیرند. اما چرا این پروندهها انتخاب میشوند؟ چرا که این پروندهها بیشترین شانس را دارند که توسط کاربر و یا خود سامانه اجرا شوند و در نتیجه با هر بار راهاندازی سامانه احتمال اجرای بدافزار و درنتیجه ماندگاری آن وجود دارد. در نهایت، تمامی پروندههای اجرایی از درایو C تا درایو Z چه به صورت درایو ثابت و چه به صورت جابهجاپذیر آلوده خواهند شد. پیشرفتهتر شدن قابلیت سرقت اطلاعات هدف نهایی این خانواده از بدافزارها از ابتدا سرقت اطلاعات از میزبان آلوده بوده است. این هدف همچنان در نسخهی جدید پابرجاست و البته برای دستیابی به آن ابزارهایی به بدافزار اضافه شده است. هنگامی که این بدافزار در رایانهی قربانی اجرا میشود، افزونهای به مرروگرهای کروم و فایرفاکس اضافه میکند که در مرورگر فایرفاکس به صورت مخفی و در مرورگر کروم به نام «Google Chrome 1.0» میباشد. به طور مثال افزونهی فایرفاکس میتواند فعالیتهای زیر را انجام دهد:
- پنهانسازی حضور افزونه
- کاهش امنیت مرورگر
- جاسوسی فعالیتهای اینترنتی کاربر
- سرقت رویدادهای ثبتشده
- تغییر مسیر آدرس درخواستی توسط کاربر به یک آدرس از پیش تعریف شده.
پس از نصب افزونه توسط بدافزار، و با راهاندازی مجدد مرورگر فایرفاکس به کاربر اطلاع داده میشود که یک افزونهی جدید نصب شده است، اما این افزونه در فهرست افزونههای نصبشده پیدا نخواهد شد.
همانطور که گفته شد، این بدافزار میتواند امنیت مرورگر را نیز تغییر دهد، در تصاویر زیر مشاهده میشود که بدافزار هشدارهای مرورگر را غیرفعال کرده است و همچنین قابلیت اعلام به روز رسانیهای موجود برای مرورگر نیز غیرفعال شده است.
تصویر۲- فهرست افزونهها پس از اجرای بدافزار و هشدار نصب افزونهی جدید در صورتی که کاربر به صورت دستی نیز تلاش کند که به روز رسانیهای موجود را اعمال کند، این اتفاق عملی نمیشود، چراکه بدافزار Xpiro، آدرس دریافت به روز رسانیهای مرورگر را به ۱۲۷٬۰٬۰٬۱ که یک آدرس محلی است، تغییر میدهد.
تصویر۳- غیرفعال کردن هشدارهای امنیتی مرورگر با از کار افتادن بسیاری از قابلیتهای هشدار مرورگر توسط این افزونه، کاربر به صورت طبیعی با مشکلات متعددی مواجه خواهد شد. همچنین برخی از ویژگیهای مرور وب ایمن، که از کاربر در مقابل حملات فیشینگ محافظت میکند نیز از کار خواهد افتاد. Xpiro تمامی فعالیتهای HTTP کاربر در مرورگر را پایش میکند و گزارش همهی این فعالیتها را به یک کارگزار ارسال میکند و سپس اقدام به بارگیری دو فهرست آدرس از این کارگزارها میکند:
تصویر۴- تغییر آدرس دریافت به روز رسانیهای مرورگر
- آدرسهای هدف
- آدرسهای تغییر مسیر
اگر کاربر یکی از آدرسهای هدف را در مرورگر وارد کند، بدافزار این آدرس را با آدرسهای تغییر مسیر، تعویض میکند. این آدرسهای تغییر مسیر میتوانند صفحات تبلیغاتی و یا صفحاتی که امکان بارگیری بدافزارهای بیشتر را فراهم میکنند، باشند. نتایج بررسی تشخیص بدافزار در وبگاه ویروستوتال به شرح زیر است:
پیوند ویروستوتال نرخ تشخیص MD5 نام پرونده پیوند ویروستوتال ۳۰/۴۵ b2e70667ddaf5a83d43b8469c984353a VSSVC.EXE پیوند ویروستوتال ۳۷/۴۷ 25c1b9f8f03dcc3dca5fff16aa8802d2 chrome_frame_helper_exe