ماڵپەڕێکی ساختەی 7-Zip کۆمپیوتەرەکان دەکاتە پڕۆکسی

ماڵپەڕێکی زیانبەخش بە ناونیشانی (7zip[.]com)، وەشانێکی دەستکاریکراوی نەرمەکاڵای 7-Zip بڵاو دەکاتەوە کە بە ڤایرۆسی تڕۆجان تەنراوە؛ ئەم نەرمەکاڵایە بە شێوەیەکی نهێنی کۆمپیوتەرە تووشبووەکان دەگۆڕێت بۆ پڕۆکسی (Residential Proxy Nodes). جێی وەبیرهێنانەوەیە کە وەشانی ڕەسەن و فەرمیی 7-Zip تەنیا لە ڕێگەی ماڵپەڕی (7-zip.org)ـەوە بەردەستە.

چۆنیەتیی کارکردنی ئەم هێرشە:

• هێرشبەران ناونیشانێکی (Domain) لێکچوویان دروست کردووە کە لە ناو فێرکارییەکانی یوتیوبدا وەک سەرچاوە دەردەکەوێت.
• پڕۆگرامی دامەزراندنەکە (Installer) هەم نەرمەکاڵای ڕاستەقینەی 7-Zip و هەم چەند پەڕگەیەکی زیانبەخشی شاراوەی تێدایە (وەک: Uphero.exe، hero.exe و hero.dll).
• ڤایرۆسەکە وەک خزمەتگوزارییەکی ویندۆز و بە بەرزترین ئاستی دەسەڵاتی سیستەم (System-level privileges) جێگیر دەبێت.
• کۆمپیوتەرە تووشبووەکان دەبنە وێستگەیەک بۆ تێپەڕبوونی هاتوچۆی ئینتەرنێتی لایەنی سێیەم، بە چەشنێک کە هەموو چالاکییەکان لە ڕێگەی ناونیشانی ئای-پی (IP address) قوربانییەکەوە ئەنجام دەدرێن.

مەترسییە سەرەکییەکان:
• ڤایرۆسەکە گۆڕانکاری لە یاساکانی (Firewall) دەکات و تەنانەت دوای ریستارت کردنەوەی کۆمپیوتەریش بە زیندوویی دەمێنێتەوە.
• تەکنیکی پێشکەوتووی "دژە-دۆزینەوە" بەکار دەهێنێت بۆ ئەوەی لە چاوی نەرمەکاڵا پارێزەرەکان شاراوە بێت.
• هێڵی ئینتەرنێتەکەت بە لایەنە نەناسراوەکان دەفرۆشرێت و بۆ مەبەستی فێڵکردن، کۆکردنەوەی نایاسایی داتا (Scraping) یان هەر چالاکییەکی تری تێکدەرانە بەکار دەهێنرێت.

ڕێکارەکانی خۆپارێزی:
• تەنیا لە ماڵپەڕی فەرمیی (7-zip.org) نەرمەکاڵاکە دابەزێنە.
• ئەگەر پێشتر لە ماڵپەڕە ساختەکە (7zip[.]com) نەرمەکاڵاکەت دابەزاندووە، دەستبەجێ پشکنینێکی وردی سیستەمەکەت بکە بە (نەرمەکاڵای Malwarebytes توانای سڕینەوەی ئەم مەترسییەی هەیە).
• پێش دابەزاندنی هەر پڕۆگرامێک، بە وردی لە ڕەسەنایەتیی سەرچاوەکەی دڵنیا ببەرەوە.
• چاودێریی لیستی خزمەتگوزارییەکانی ویندۆز (Windows Services) بکە بۆ دۆزینەوەی هەر چالاکییەکی گوماناوی و چاوەڕواننەکراو.

ئاماژەکانی کۆمپرمایز
جێگەی فایلەکان:

• C:\Windows\SysWOW64\hero\Uphero.exe
• C:\Windows\SysWOW64\hero\hero.exe
• C:\Windows\SysWOW64\hero\hero.dll

هاشەکانیان SHA-256

• e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
• b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (hero.exe)
• 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

نێتۆرک
Domains:

• soc.hero-sms[.]co
• neo.herosms[.]co
• flux.smshero[.]co
• nova.smshero[.]ai
• apex.herosms[.]ai
• spark.herosms[.]io
• zest.hero-sms[.]ai
• prime.herosms[.]vip
• vivid.smshero[.]vip
• mint.smshero[.]com
• pulse.herosms[.]cc
• glide.smshero[.]cc
• svc.ha-teams.office[.]com
• iplogger[.]org

ئایپی ئاراستە کراوCloudflare

• 104.21.57.71
• 172.67.160.241

نیشانە دیاریکەرەکانی ئاستی هۆست
• ئەو خزمەتگوزارییانەی ویندۆز کە ڕێڕەوی پەڕگەی جێبەجێکارەکەیان (Image path) ئاماژە بەم شوێنە دەکات: C:\Windows\SysWOW64\hero
• ڕێساکانی (Firewall) کە بە ناوی Uphero یان hero ناوزەد کراون (چ بۆ هاتووی تۆڕ و چ بۆ دەرچووی).
• کلیلە یەکلاکەرەوەی تەن (Mutex): Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

سەرچاوە: Malwarebytes