Nemucod تطلق حزمة خبيثة تجمع بين برمجيات انتزاع الفدية والإعلانات المزعجة

سجلت شركة “إسيت” Eset خلال الأسبوع الماضي تحولاً في سلوك برمجية تحميل الفيروسات “Nemucod”، وتمثل ذلك التحول بالانتقال من تحميل برمجيات انتزاع الفدية إلى تحميل برمجية Kovter الخبيثة للضغط على الإعلانات.

ويبدو أن القائمين على برمجية التحميل الفيروسات سيئة السمعة قد تمادوا في اتخاذ خطوة إضافية في إطار سعيهم لإلحاق الضرر بالمستخدمين من خلال إرسال حزمة خبيثة متكاملة تتضمن برمجيات انتزاع الفدية بالإضافة إلى برمجيات الضغط على الإعلانات.

ويستقبل المستخدم المستهدف رسالة بريد إلكتروني مع مرفقات مصابة تحمل ملفاً تنفيذياً من امتداد .js، وهو برمجية التحميل، وبعد فك الضغط والتشغيل، تقوم البرمجية بتحميل خمسة ملفات في آن معاً، ويعمل أول ملفين من هذه الملفات كبرمجيات للضغط على الإعلانات اكتشفتهما شركة “إسيت” كبرمجيات Win32/Kovter و Win32/Boaxxe.

وتمتلك الملفات الثلاثة المتبقية هدفاً واضحاً للغاية يتمثل بالعثور على أهم الملفات وأكثرها قيمةً على جهاز الكومبيوتر وتشفيرها، وقامت Nemucod بتثبيت مترجم لغة PHP ومكتبة PHP إضافية (هذان الملفان لا يحتويان أي فيروسات) من أجل تشغيل برمجية انتزاع الفدية.

ويتم تحميل فيروس تشفير الملفات PHP/Filecoder.D، عند اكتشاف “إسيت” للملف الثالث، ليبدأ بتنفيذ أنشطته الخبيثة باستخدام مفتاح تشفير ضمني موجود ضمن البرمجية الخبيثة.

ويتم نتيجة لذلك تشفير ملفات من 120 نوعاً مختلفاً من الامتدادات، ومن ضمنها ملفات “مايكروسوفت أوفيس” والصور والفيديو والملفات الصوتية وغيرها من الملفات التي تحصل جميعها على لاحقة “crypted”.

وتقوم برمجية Nemucod، بعد إنهاء برمجية انتزاع الفدية لعملية تشفير الملفات، بإنشاء ملف نصي يحتوي رسالة طلب الفدية، ويتم إزالة مترجم لغة PHP والمكتبة المرفقة وبرمجية تشفير الملفات من النظام.

وتبين، عند النظر إلى بقية الملفات الموجودة في الحزمة، وجود برمجية Boaxxe التي تعتبر برمجية تسلل (backdoor) خاضعة للتحكم عن بعد وقادرة على تحميل وتشغيل أو تثبيت الإضافات في متصفحات الويب الشهيرة من أمثال “جوجل كروم” و”فايرفوكس”.

وتقوم برمجية حصان طروادة هذه بالاتصال مع خادم أوامر وتحكم (C&C) ما يسمح للمشغل بإساءة استخدام الجهاز المصاب كخادم وكيل، ربما كوسيلة لإدراج إعلانات احتيالية أو زيادة حركة المرور لبعض المواقع المختارة.

كما لوحظ نشاط آخر مثير للاهتمام لبرمجية Nemucod خلال نهاية الأسبوع في أمريكا اللاتينية، حيث قامت برمجية تحميل الفيروسات هذه بإرسال كميات كبيرة من فيروس Win32/Spy.Banker.ADEA إلى المستخدمين البرازيليين.