تعريف الفيروس
ما هو؟
يستخدم CosmicDuke، الذي اكتُشف عام 2014، النمط القديم لطعوم Miniduke من عام 2013 التي لا تزال موجودة وتُستخدَم في الحملات النشطة التي تستهدف الحكومات والهيئات الأخرى. بعد الكشف عنه عام 2013، بدأ العامل الفاعل الرئيسي وراء Miniduke في استخدام عنصر تسلل مخصص مختلف. يستطيع عنصر تسلل Miniduke الرئيسي "الجديد" (المعروف أيضًا باسم TinyBaron أو CosmicDuke) سرقة أنواع متنوعة من المعلومات.
على الرغم من إيقاف العامل الفاعل الرئيسي لتهديدات Miniduke المستعصية المتقدمة لحملته الهجومية أو على الأقل قلّل من شدتها في بداية عام 2014، فقد استُؤْنِفَت الهجمات مرة أخرى بكامل طاقتها في أوائل عام 2014. وقد لوحظ حينها تغيرات في طريقة عمل المهاجمين والأدوات التي يستخدمونها.
التفاصيل
يتم تكوين عنصر تسلل Miniduke الرئيسي "الجديد" (المعروف أيضًا باسم TinyBaron أو CosmicDuke) ضمن إطار عمل قابل للتخصيص يُسمى BotGenStudio، لديه المرونة لتمكين المكونات أو تعطيلها عند إنشاء برنامج الروبوت.
يمكن تقسيم المكونات إلى 3 مجموعات:
- الاستمرارية – يستطيع Miniduke/CosmicDuke البدء عبر برنامج "جدولة المهام في Windows"
- لاستكشاف – يستطيع البرنامج الضار سرقة مجموعة متنوعة من المعلومات، بما فيها الملفات المستندة إلى الامتدادات والكلمات الرئيسية لأسماء الملفات، مثل *.exe و*.ndb و*.mp3 و*.avi و*.rar و*.docx و*.url و*.xlsx و*.pptx و*jpg و*.txt و*.lnk و*.dll و*.tmp وما إلى ذلك.
- الاستخراج السري - يُنفِّذ البرنامج الضار العديد من موصلات الشبكة لاستخراج البيانات سرًا، بما فيها تحميل البيانات عبر FTP والمتغيرات الثلاثة المختلفة لآليات اتصال HTTP.
كيف أعرف ما إذا كان جهازي مصابًا؟
تكتشف منتجات Kaspersky Lab عنصر تسلل CosmicDuke مثل Backdoor.Win32.CosmicDuke.gen وBackdoor.Win32.Generic. إذا كان لديك أحد منتجات Kaspersky بالفعل، فينبغي أن يكون قد تم اكتشاف برنامج CosmicDuke الضار بالفعل. وإذا لم يكن منتج Kaspersky مثبَّتًا لديك بالفعل، فستحتاج إلى تنزيل أي من منتجات Kaspersky لمكافحة الفيروسات وتثبيتها وتشغيل البرنامج.