ResearchTargeted Threats

Simurgh, Iranian anti-censorship software circulated with malicious backdoor (in Farsi)

پخش نسخه مخرب نرم‌ افزار فیلترشکن سیمرغ

سیمرغ یک فیلترشکن مستقل ایرانی‌ برای مایکروسافت ویندوز است. این نرم‌افزار از سال ۱۳۸۹ بیشتر از سوی کاربران ایرانی‌ برای دور زدن از سانسور استفاده شده است. با توجه به حجم ۱ مگابایتی این نرم‌افزار، کاربران در مدت زمان معقولی این فایل را با سرعت کم می‌‌توانند دانلود کنند، مشخصه‌ای که این نرم افزار را برای بسیاری از کاربران در داخل ایران مناسب می‌‌سازد. همچنین این نرم‌افزار بدون نیاز به نصب برروی کامپیوتر و داشتن حقوق مجری قابل اجرامی‌‌باشد. به همین دلیل، قابلیت کپی شدن و استفاده  بروی کامپیوترهای متعدد را دارد. برای مثال، در اینترنت کافه.

سیمرغ را می  توان بطور رایگان از وب سایت رسمی اش دانلود کرد.

https://simurghesabz.net/.

پس از اجرا کردن فایل دانلود شده. کارخواه سیمرغ باز می شود وقتی که کاربر بر روی گزینه «استارت» ( آغاز) کلیک کند٬  سیمرغ تلاش می کند تا ارتباط امنی را برقرار کند.  سپس، پنجره جدیدی درپنجره مرورگر اینترنت اکسپلورر باز می شود تا صفحه تستی را به کاربران ارایه دهد که تایید می کند که ارتباط امن از طریق کشور دیگری بر قرار شده است.

ما اخیرا متوجه شدیم که نرم‌ افزار سیمرغ برای دور زدن از سانسوردر کشور سوریه نیز  به کاربران پیشنهاد شده و میان آنها در حال پخش است.  این اطلاعات موجب به کشف و بررسی‌ نسخه دست‌کاری شده سیمرغ انجامید.

این نسخه مخرب نرم افزار سیمرغ، علاوه بر نصب نرم افزار سیمرغ، یک “در پشتی‌” مضر هم برروی کامپیوتر قربانی نصب می‌‌کند. این نرم افزار تحت نام « Simurgh-setup.zip  » توزیع شده و از طریق هش‌های « md5 » و «sha256» قابل شناسایی است.

5e2a714fdfc2309af843056e8c5ae7d3 Simurgh-setup.zip

9c1a238d87e3bad41708c2e98f753442a224ed9df994e1a34083b2bf336047e5 Simurgh-setup.zip

وقتی شما فایل زیپ شده را باز می کنید فایلی با این نام را می بینید:

Simurgh-setup.exe

379480c807812f3521466f7ff5ffa273 Simurgh-setup.exe

e20438a4cf90b67dab613451cc5b3bc35256413461dafdfc35425429d8d478df Simurgh-setup.exe

نصب کننده یا «اینستالر» تازه ترین نسخه قانونی سیمرغ به شکل عکس زیر است

به کار انداختن نسخه آلوده، نصب کننده ای  را به شکل زیر به کار خواهد انداخت.

همچنین یک کپی از سیمرغ را در آدرس زیر ایجاد می کند

C:\Program Files\Simurgh\Simurgh.exe

 

<<GUI>> این فایل مضر

:٤ فایل دو تایی را در این آدرس می اندازد

C:\windows\system32\drivers:

MSINET.OCX – 73da54b69911bdd08ea8bbbd508f815ef7cfa59c4684d75c1c602252ec88ee31

richtx32.ocx – 318cc48cbcfaba9592956e4298886823cc5f37626c770d6dadbcd224849680c5

shdocvw.dll – fdae6764d190bf265dbc2df352174ccdcc97b1680545e348f1ee1111b0808693

lsass.exe – 9320d247dd94f610f31037df8eda75fe79991f126d2e55d35a9532d09ff79896

سه تا فایل اول فایل های قابل تایید سیستم ماکروسافت هستند که به نظر می رسد زیر مجموعه هایی از فایل چهارم

<<lsass.exe>>

<<VB6>> هستند. این فایل یک کد بومی

 است و به عنوان یک بستر نصب می شود که اجازه دسترسی مداوم به کامپیوتر قربانی را می دهد و قابلیت خروج اطلاعات را فراهم می کند.

در بخشی از مراحل نصب، ثبت ورود زیر نوشته شده است که از ورود مهاجم اطمینان حاصل می کند.

HKLM\software\microsoft\windows nt\currentversion\winlogon\shell explorer.exe C:\WINDOWS\system32\drivers\lsass.exe REG_SZ 0

در مرحله ابتدایی٬ فایل

<<lsass.exe>>

 فایل موجود در این آدرس را پاک می کند.

‘C:\WINDOWS\Media\Windows XP Start.wav’

این یک فایل هدایت کننده صدا در اکسپلورر٬ اینترنت اکسپلورر و بقیه اپلیکیشن هایی با مبنای کنترل مشترک، هست. ازآنجایی که

<<lsass.exe>>

 از تعدادی از این دست کنترل ها استفاده می کند،احتمالا، هدفش حذف صدای کلیک کردن در طول مدت نصب بستر ویروسی است.  هرچند این عمل به بسته شدن هدایت کننده های صدا در دیگر اپلیکیشن ها (که تنظیم صدا در آنها ضروری است) هم می انجامد.

 

به علاوه اطمینان حاصل کردن از تداوم دسترسی

lsass.exe

 تک تک جزییات بنیادی سیستم از قبیل آدرس ای پی٬ نام میزبان٬ کلمه عبور کاربر را می شمارد  وقابلیت کی‌ لاگر را ارایه می کند. این فایل دوتایی دارای سه فایل  جاوااسکریپت هست که به صورت فایل متنی نوشته شده اند.

C:\WINDOWS\system32\win.txt

C:\WINDOWS\system32\1.txt

C:\WINDOWS\system32\2.txt

 

این فایلها به صورت یک ساختار اولیه اچ تی ام ال عمل می کنند تا در سیستم قربانی داده ها را استخراج کنند.

در مراحل عمل فایل

<<win.txt>>

 به

<<upl.htm>>

 تغییر نام داده می شود و بعد از طریق درخواست اچ تی تی پی به سایت از راه دور کنترل شده ای ارسال می شود که آی اس پی اش در عربستان سعودی ثبت شده است.

اگر متوجه شدید که این فایل مهاجم بر روی کامپیوتر شما نصب شده، در نظر بگیرید که احتمال این وجود دارد که کلیه حسابهای اینترنتی شما اعم از ایمیل، بانک و غیره به خطر افتاده باشند. توصیه می شود که پسورد/کلمه عبورتان را در اسرع وقت تغییر دهید. با وجودی که این مهاجم از سوی بیشتر نرم افزارهای ضد ویروس مضر تشخیص داده می شود٬ ولی نرم افزارهای ضد ویروس همیشه نمی توانند سیستم آلوده را صد در صد تمیز کنند به همین دلیل نصب دوباره توصیه می شود.

این مهاجم طوری طراحی شده است تا افرادی که تلاش می کنند از سانسور دولت بگریزند را هدف قرار دهد.

با توجه به هدف اصلی این نرم افزار، کاربران می بایست (در صورتیکه کامپیوترشان مورد حمله قرار گرفت) بسیار محتاط باشند آنها همچنین باید در زمینه نصب هر نوع نرم افزاری احتیاط کنند. بخصوص نرم افزارهای مشکوک با مراجع غیرقابل اعتماد.در صورت امکان، نرم افزارها باید از وب سایت های رسمی و از طریق اچ تی تی پی اس دانلود شود. اگر امضای پنهانی یا «چکسامها»  توسط فروشنده نرم افزار ارایه شده بود، می بایست پیش از نصب کردن چک شود.

به روز شده: ۳۰ می ۲۰۱۲

پس از منتشر شدن گزارش ما، تیم سیمرغ چند گام مهم برای هشدار به کاربران خود در این زمینه ورداشته است:

۱. تیم سیمرغ به طور مستقیم در وبسایت رسمی این نرم افزار https://simurghesabz.net به زبان های فارسی، عربی و انگلیسی به کاربران خود در مورد نسخه های مخرب سیمرغ هشدار داده است. سیمرغ به همچنین MD5 checksums باینری رسمی و بسته های مخرب، و همچنین دستورالعمل نحوه بررسی MD5 checksums در برابر نرم افزار دانلود شده را نیز در وبسایت خود منتشر کردند. اگر از سیمرغ استفاده کردید یا می کنید، فورا MD5 checksums خود را با آنچه در وبسایت رسمی سیمرغ منتشر شده مقایسه کنید. آنها را دراین زیره نیز میتوانید پیدا کنید:

اگر نرم افزار شما نسخه رسمی باشد نتایج باید اینگونه باشد

simurgh120.20100910.exe-07855ead46bb15718ee73d513bdb9678
simurgh120beta.20100326.exe-ddecf8ac6c96c148cc7c42183d25baa9

و اگر نسخه شما نسخه مضر باشد نتایج اینگونه خواهد بود

Simurgh-setup.zip : 5e2a714fdfc2309af843056e8c5ae7d3
Simurgh-setup.exe : 379480c807812f3521466f7ff5ffa273
Simurgh-setup.exe : 300b0d061dfb9c9c6d7bdeecc74169f1
simurgh[homs-sin.ibda3.org].exe : c8c8817af66312cfcfcb1ddf952f9d98

۲. همانطور که “Sophos “در بلاگ پست اخیرش Naked Security اشاره کرده، صفحه تایید اتصال امن/آی پی که بعد از وصل موفق به سرورهای سیمرغ بازمیشود، پیکربندی شده تا به کاربرانی که قربانی نسخه مخرب شدند هشدار دهد. عکس زیر نمونه ای از این هشدار است.

اگر بعد از اجرای سیمرغ با این هشدار روبرو شدید، فورا این برنامه را ببندید و برای از بین بردن این برنامه مخرب از آنتی ویروس استفاده کنید. ولی برای اطمینان بیشتر، بهتر است که سیستم عامل خود را مجددن نصب کنید.

علاوه بر گام هایی که سیمرغ برای هشدار به کاربران خود ورداشته، ما با میزبان نسخه مخرب سیمرغ تماس حاصل کردیم و آنها نیز این نسخه را ور داشته اند تا دیگر قابل دسترسی نباشد

Thank you to ASL19 for translation edits.