نحوه تشخیض بدافزار شامون در سیستم های Local

-نحوه تشخیض بدافزار شامون در سیستم های Local
این بدافزار بعد از ورود به سیستم به سرعت یک فایل اجرایی با آدرس زیر تولید می کند:

%WINDOWS%\system32\netinit.exe

-نحوه تشخیض بدافزار شامون در سامانه مدیریت یکپارچه تهدیدات (UTM) و فایروال
این بدافزار به محض اتصال سیستم به اینترنت سعی در ارتباط با مرکز فرماندهی  خود می کند و با شناسایی خود به مرکز در انتظار دستور دانلود و اجرای فایل اجرایی جدید از مرکز قرار می گیرد.هر چند فایل دریافتی از طریق الگوریتم Base64 کد می شود توسط انتی ویرویس موجود در UTM قابل شناسایی نیست ولی استفاده از پروتکل HTTP  و نه  HTTPS می تواند به شناسایی این بد افزار در شبکه کمک کند بدیم معنی که هر درخواست Get با الگوهای زیر احتمالا به تحرکات این بد افزار مربوط می شود.
نسخه 1 بدافزار:
=http://*server*/ajax_modal/modal/data.asp?mydata=&uid=&state

نسخه 2  بدافزار:
=http://*server*/category/page.php?shinu

آدرس *server* می تواند متغیر باشد.

Remove-Shamoon2-Malware

بدافزار شامون چیست؟

شامون ( Shamoon) نام یک بدافزار کامپیوتری تحت ویندوز است که در آگوست سال ۲۰۱۲ کشف شد. این بدافزار بر روی سیستم های دارای سیستم عامل ویندوز عمل می کند. نام شامون برگرفته از مشخصه‌ای است که بدافزار در هنگام پاک کردن از خود به جای می‌گذارد. بدافزاری که به اتهام جاسوسی اینترنتی در بخش انرژی استفاده می‌شود.

این بدافزار با پاک کردن اطلاعات(احتمالاً سرقت آنها)، بخشی از عکسی از پرچم سوخته آمریکا جایگزین آن می‌کند. شامون مخرب فایلهای رایانه بوده و با بازنویسی مستر بوت رکورد(MBR) تلاش می‌کند که سیستم‌عامل رایانه را تخریب کند.
این بدافزار دارای سه جزء آلوده کننده، پاک کننده و گزارش کننده‌است.

آخرین حمله سایبری صورت گرفته با بدافزار شامون که اداره کل هواپیمایی عربستان و سازمان های دولتی این کشور را مورد حمله قرار داده بود. آمریکا بدافزار شامون را به ایران نسبت داده است. آخرین مورد حمله سایبری به عربستان با استفاده از بدافزار شامون که در شرکت هواپیمایی و سازمان هایی دیگر مشاهد شده. پس از سرقت اطلاعات و فایل های سیستم تصویر جنازه یک پسر 3 ساله اهل سوریه به نام آلن کردی گذاشته که در کنار ساحل دریا آرمیده است. جایگزین شده بود. بدافزار شامون 2 هم اکنون در حال فعالیت است.