Phorpiex хортой программ
Phorpiex хортой программ нь 2018 оноос эхлэн тархаж эхэлсэн ба хэрэглэгчийн мэдээллийг хулгайлах, cryptomining хийх, спам и-мэйл илгээх зэрэг үйл ажиллагаа явуулдаг бөгөөд эхэндээ USB санах ойгоор халдварлах, мессенжерүүдээр дамжин тархдаг байсан бол сүүлийн жилүүдэд улам сайжирч хуурамч хэрэглээний программуудаар дамжин тархах, хэрэглэгчийн компьютерт ransomware суулгах зэрэг үйлдлүүд гүйцэтгэдэг болсон.
Файлын нэр: pei[1].exe
SHA256: e172537adcee1fcdc8f16c23e43a5ac82c56a0347fa0197c08be979438a534ab
хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
- Yara программ татах. Yara программыг энэ холбоосоор хандаж татаж авна.
- Татсан zip файлыг задлах. Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
- Command Prompt программыг administrator эрхтэй нээх
- Yara программ байгаа фолдерийг нээх. Жишээ нь: cd C:\new folder\
- Yara-ын дүрэмийг шинэ file нээн хуулж phorpiex.yara нэртэйгээр хадгална
- Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан phorpiex.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар phorpiex хортой кодыг хайна.
Жишээ нь:
▪ C дискээс phorpiex хортой программыг хайх команд: "yara64.exe -r phorpiex.yara C:\ 2>NUL"
▪ D дискээс phorpiex хортой программыг хайх команд: "yara64.exe -r phorpiex.yara D:\ 2>/NUL"
import "hash"
rule Phorpiex_hortoi_code {
meta:
description = "Phorpiex-iin last variant ilruuleh"
author = "pcert"
date = "2024-03-26"
strings:
// by registry
$regKey = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Wpad" nocase
// by file paths
$filePath1 = "%AUTO%\\1582108473.0167336_40d2b83b-f78f-4d18-aba6- caf1cfd0815d\\" nocase
// by file names
$fileName1 = "pei[1].exe" nocase
condition:
// hortoi code haih
(
$regKey or
$filePath1 or
$fileName1
)
or (
//by hash
hash.sha256(0, filesize) ==
"e172537adcee1fcdc8f16c23e43a5ac82c56a0347fa0197c08be979438a534ab "
)
}
- Дээрх YARA дүрмийг ашиглан Phorpiex төрлийн хортой кодыг илрүүлэх
- Phorpiex төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх