تعريف الفيروس
نوع الفيروس: برنامج ضار / تهديد مستعصٍ متقدم
ما هو؟
Crouching Yeti عبارة عن تهديد متضمن في العديد من حملات التهديدات المستعصية المتقدمة التي كانت نشطة حتى نهاية العام 2010 على الأقل.
تتضمن القطاعات المستهدفة الرئيسية لهذا التهديد:
- الصناعة/الآلات
- التصنيع
- الصيدلة
- لإنشاءات
- قطاع التعليم
- تكنولوجيا المعلومات
بعد بحث مفصَّل، تقرر أن العدد الأكبر من الضحايا يقع في القطاع الصناعي/تصنيع الآلات، وهذا يشير إلى أن هذا قطاع ذو أهمية.
عتمد تهديد Crouching Yeti على ثلاث طرق لإصابة الضحايا، رسائل البريد الإلكتروني للتصيُّد بالحربة أو استخدام مستندات PDF مضمنة في عملية استغلال Adobe Flash (CVE-2011-0611)
- أدوات تثبيت برامج مصابة بـحصان طروادة
- هجمات الحفر المائية باستخدام مجموعة متنوعة من عمليات الاستغلال المعاد استخدامها
تفاصيل التهديد
بالكاد تكون Crouching Yeti حملة معقدة. فعلى سبيل المثال، لم يستخدم المهاجمون عمليات الاستغلال الفورية، بل استخدموا فقط عمليات الاستغلال المتوفرة على نطاق واسع عبر الإنترنت. لكن لم يمنع هذا من وضع الحملة تحت المراقبة لسنوات عديدة.
تجاوز إجمالي عدد الضحايا المعروفين 2800 ضحية على الصعيد العالمي، وتمكن الباحثون في Kaspersky Lab من تحديد 101 مؤسسة من ضمنها. يبدو أن قائمة الضحايا هذه تشير إلى اهتمام Crouching Yeti بالأهداف الإستراتيجية، لكنها تظهر كذلك اهتمام المجموعة بالعديد من المؤسسات الأخرى غير الواضحة.
يعتقد الباحثون في Kaspersky Lab بأنهم قد يكونوا ضحايا جانبيين، لكن قد يكون من المعقول إعادة تعريف Crouching Yeti باعتباره ليس فقط حملة مستهدفة عالية المستوى ذات مجال اهتمام محدد، بل أيضًا حملة مراقبة واسعة ذات اهتمامات في قطاعات مختلفة.
كيف أعرف ما إذا كان جهازي مصابًا بـ Crouching Yeti
الطريقة المثلى لتحديد ما إذا كنت ضحية لـ Crouching Yeti هي تحديد ما إذا كان هناك اختراق. يمكن التعرف على التهديدات بواسطة منتج قوي لمكافحة الفيروسات مثل Kaspersky Anti-Virus.
ستكشف منتجات Kaspersky Lab البرنامج الضار الذي تحتوي عليه حملة Crouching Yeti باستخدام تعريفات التهديد التالية:
- Trojan.Win32.Sysmain.xxx
- Trojan.Win32.Havex.xxx
- Trojan.Win32.ddex.xxx
- Backdoor.MSIL.ClientX.xxx
- Trojan.Win32.Karagany.xxx
- Trojan-Spy.Win32.HavexOPC.xxx
- Trojan-Spy.Win32.HavexNk2.xxx
- Trojan-Dropper.Win32.HavexDrop.xxx
- Trojan-Spy.Win32.HavexNetscan.xxx
- Trojan-Spy.Win32.HavexSysinfo.xxx
كيف يمكنني حماية نفسي من Crouching Yeti
- احرص على تحديث برامجك. لا تنتمي أي من عمليات الاستغلال التي استخدمتها تهديدات Crouching Yeti إلى هجمات عمليات الاستغلال الفورية، وكان يمكن منع معظم الإصابات باستخدام برامج جهات خارجية محدَّثة.
- ثبِّت حل الأمن واحرص على تحديثه لمنع الإصابات بالفيروسات.
- يُعدّ التعليم جزءًا مهمًّا من الأمن، ولا سيما عندما يتعلق الأمر برسائل البريد الإلكتروني للتصيُّد بالحربة.