قيادة حرس الرئاسة
¬°•| ђάсқεя~4έṽέя |•°¬
في الآونة الأخيرة، وذكرت أن CERT الإيرانية قطعة جديدة من البرمجيات الخبيثة تستهدف أجهزة الكمبيوتر الإيرانية قادرة على أن تمسح الملفات من أجهزة الكمبيوتر المصابة.
وقد حللت عينة SophosLabs جديدة وأكد أن محاولة الخبيثة لمحو محتويات أية ملفات على D، E، F، G، H.
يتم توزيع البرامج الضارة كأرشيف ينرر استخراج ذاتي يسمى GrooveMonitor.exe التي تسقط الملفات القابلة للتنفيذ ثلاثة: juboot.exe، وjucheck.exe SLEEP.EXE.
و’justboot.exe’ هو ملف BAT DOS التي تم تحويلها إلى تنسيق PE يستخدم ‘SLEEP.exe’ إلى الانتظار لبضع ثوان قبل أن يضيف إدخال التسجيل الذي يضمن أن يتم تنفيذ “jucheck.exe” في كل مرة الكمبيوتر إعادة تشغيل.
وتتمثل المهمة الرئيسية للمسح البرمجيات الخبيثة والملفات من القرص الصلب، ولكنه يفعل ذلك فقط ضمن عدد قليل يتراوح تاريخ محدد، كل منها حوالي يومين.
بعد حذف البيانات، والبرمجيات الخبيثة بتشغيل Chkdsk من أجل خداع الضحية بالاعتقاد التي تم تلف الملفات بسبب فشل البرامج أو الأجهزة.
