همه چیز درباره computer

آزمایشگاه ضد بدافزار ایمن به بررسی اجمالی بدافزار XDocCrypt یا Dorifel پرداخته است.
در حال حاضر Dorifel در کشورهایی مانند دانمارک، فیلیپین، آلمان، ایالات متحده ، اسپانیا در این اواخر در کشورهایی نظیر کانادا، چین و لهستان مشاهده شده است و بیش از همه در کشور هلند شیوع پیدا کرده است.
به اعتقاد برخی از کارشناسان Dorifel را می توان از خانواده Zeus/Zbot دانست. 

ویروس Dorifel به زبان Delphi نوشته شده است،این بدافزار فایل‌هایی با پسوند Doc، Docx، Xls، Xlsx و Exe را آلوده می‌کند، فایل آلوده شده با تغییر نام، سایز و آیکون همراه بوده است.
این بدافزار برای تغییر نام از RTLO Unicode Hole استفاده می‌کند و یک پسوند جعلی به فایل می‌دهد، برای مثال فایلی به اسم Imen lab?cod.src در اکسپلورر ویندوز به اشتباه Imen labrcs.doc نشان داده می‌شود.

این ویروس با جابجایی Entrypoint فایل‌های Exe و تغییر آن به آدرس ۰۰۰۰FA۰۴ و تغییر File Offset به آدرس ۰۰۰۰EE۰۴ کد خود را به فایل آلوده اضافه می‌کند.

Dorifel بعد از اجرا فایل‌های زیرا را در مسیر %AppData%\[Random Name] می‌سازد.

[Random Name].exe
[Random Name].exe.adm
[Random Name].exe.dat
[Random Name].exe.ini
[Random Name].exe.lnk

این ویروس اسناد اداری را رمزگذاری کرده و به فایل‌های اجرایی تبدیل می‌کند و قابلیت C&C را نیز دارا می‌باشد.
Command‌هایی که این بدافزار از آنها استفاده می‌کند "-Launcher" و "-Update" می‌باشد.

Dorifel از فولدرهای به اشتراک گذاشته شده در شبکه و فلش دیسک‌ها برای انتشار خود بهره می‌برد و همینطور می‌تواند به عنوان هرز نامه نیز منتشر شود.
Dorifel با IP‌های زیر ارتباط برقرار می‌کند:
۱۸۲.۲۰۲.۱۵۳.۳۱
۶۵.۵۵.۲۷.۲۲۰
۸۱.۸۸.۴۸.۷۹
۶۴.۹۰.۵۹.۱۶۰
۶۵.۵۵.۱۸۵.۲۶
۶۵.۵۵.۱۸۴.۱۶
۶۵.۵۵.۲۵.۵۹
۲۰۷.۴۶.۲۱.۱۲۴
۶۵.۵۵.۲۷.۲۱۹
۶۵.۵۴.۵۱.۲۵۳
۶۵.۵۵.۲۰۰.۱۳۹
۶۵.۵۵.۲۵.۴۴
ارتباط با IP‌های ۱۸۴.۸۲.۱۶۲.۱۶۳ و ۱۸۴.۲۲.۱۰۳.۲۰۲ می تواند رفتارهای مخرب این بدافزار را در سیستم شما نشان دهد. 

در پایان باید اشاره کرد Dorifel بعد از Gauss که خاورمیانه و کشورهای آسیای غربی را مورد حمله قرار داده بود در اروپا بخصوص هلند بیشتر از سایر کشورها شایع شده، و بیشتر موسسات مالی و بانک‌ها را هدف قرار داده است.
برای کسب اطلاعات بیشتر و آشنایی با جزئیات این ویروس می‌توانید به نشانی www.ImenAntiVirus.com مراجعه کنید یا با تلفن‌های ۱۶ - ۶۶۹۰۰۶۱۱ تماس حاصل نمایید.