مرکز ماهر با انتشار بیانیه ای، نسبت به شیوع یک بدافزار استخراجکننده ارز دیجیتال هشدار داد. این بدافزار در سطح کشور شیوع بالایی دارد.
بررسیهای فنی نشان میدهد که از نیمه دوم فروردین ماه، یک بدافزار استخراجکننده ارز دیجیتال در سطح شبکه اینترنت در کشور شیوع یافته است. این بدافزار مجهز به اکسپلویتهای منتشر شده توسط یک گروه هکری مستقل است. سیستمهای آلوده شده توسط این بدافزار به یک درب پشتی برای مهاجم تبدیل میشوند و مهاجم میتواند آنها را با استفاده از بدافزارهای مختلف آلوده کرده و یا از آنها در انواع حملات رایانهای استفاده کند. همچنین بدافزار به صورت خودکار یک کاربر جدید به نام mm123$ در سیستم ایجاد میکند. هدف اصلی بدافزار استفاده از منابع سیستمهای آلوده شده برای استخراج پول دیجیتال است. برای جلوگیری از آلوده شدن سازمانها به این بدافزار، پیشنهاد میگردد راهبران شبکه اقدامات زیر را انجام دهند:
1. منع دسترسی رایانههای سازمان به دامنههای زیر:
• Da.alibuf.com
• Dnn.alibuf.com
• X.alibuf.com
• Liang.alibuf.com
• Pools.alibuf.com
• Dns.alibuf.com
• Amd.alibuf.com
• Ca.posthash.org
• Stop.posthash.org
• Ip.3322.net
• Ip138.com
• xt.freebuf.info
• Miner.fee.xmrig.com
• Emergency.fee.xmrig.com
• Minergate.com
• Nicehash.com
• pool.minexmr.to
• xmr.usa-138.com
• pool.minexmr.com
• bulletpool.ru
• xmr-eu1.nanopool.org
• xmr.kiss58.org
• fee.xmrig.com
• pool.minexmr.com
• pool.minexmr.to
2. به روز رسانی سیستم عامل و نرمافزارهای ضد ویروس (خصوصاً وصله منتشر شده برای رفع آسیبپذیریهای MS17-010).
3. بستن یا محدودسازی دسترسی به پورتهای 445، 139 و 3389.
همچنین مقابله با آدرسهای IP میزبان این دامنهها از طریق مراکز CERT کشورهای مربوطه درحال پیگیری می باشد.
