ٹولجن.APT کی طرف سے فون کیا. بینیچنٹ، میلویئر ایک ورڈ دستاویز کے ذریعہ تقسیم کیا جاتا ہے جسے ہدف ای میل کے حملوں کے دوران بھیجا جاتا ہے اس کا استحصال کیا گیا ہے. فائر ایی محقق چونگ رونگ ہاو نے ایک بلاگ پوسٹ میں پیر کو بتایا کہ دستاویز کا نام "اسلامی جہاد ڈاٹ کام".

[مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

ملٹی وے پر حملے

حملے کئی مراحل میں کام کرتا ہے. بدسلوکی دستاویز ڈاؤن لوڈ کرنے اور ایک اجزاء کو انجام دیتا ہے جو اس بات کا تعین کرنے کی کوشش کرتا ہے کہ آپریٹنگ ماحول ایک مجازی شدہ ہے، جیسے اینٹیوائرس سینڈ باکس یا خود کار طریقے سے میلویئر تجزیہ سسٹم، یہ دیکھنے کے لۓ کہ اگر دوسری حملہ مرحلے کو شروع کرنے سے پہلے ماؤس کی سرگرمی ہو. رونگ ہاؤ نے کہا کہ ماؤس پر کلک کی نگرانی ایک نیا پتہ لگانے کے چوری کی تکنیک نہیں ہے، لیکن ماضی میں عام طور پر ایک ماؤس پر کلک کرنے کی جانچ پڑتال کی گئی ہے. انہوں نے کہا کہ ایک ہی آرکائیو کو روکنے کے لئے آگے بڑھنے سے قبل بین ماؤس کلکس کے انتظار میں انتظار کرتے ہیں اور ایک پچھلے دروازے کے پروگرام کو ڈاؤن لوڈ کرسکتے ہیں جو کہ.jpg کی تصویر فائل کے طور پر مباحثہ کرتے ہیں.

میلویئر بھی دوسرے کا پتہ لگانے کے چوری کے طریقوں کو بھی ملا ہے. مثال کے طور پر، حملے کے پہلے مرحلے کے دوران، بدقسمتی سے دستاویز dropwly کے یو آر ایل سے ow.ly یو آر ایل کو ڈاؤن لوڈ کرتا ہے. Ow.ly بدسلوکی ڈومین نہیں ہے، لیکن ایک URL مختصر سروس ہے.

اس سروس کا استعمال کرنے کے بعد کی منطقی ھدف بندی والے کمپیوٹر یا اس کے نیٹ ورک پر URL بلیک لسٹنگ کی خدمات کو بریفنگ کرنا ہے. ("اسپیمرز کے استعمال کے بارے میں غلط استعمال کریں.gov یو آر ایل کو کم کرنے والے سروس میں کام پر گھر سکیمیں."

اسی طرح، حملے کے دوسرے مرحلے کے دوران، بدقسمتی سے.jpg فائل غیر آئی پی ڈی متحرک کے ساتھ پیدا کردہ یو آر ایل سے ڈاؤن لوڈ کیا جاتا ہے. ڈومین نام سسٹم (DNS) سروس.

پہلی اجزاء سے لوڈ ہونے کے بعد،.jpg فائل خود کو "C: ProgramData Google2 \" فولڈر میں GoogleUpdate.exe نامی ایک کاپی کاپی بناتا ہے. یہ بھی ایک لنک تخلیق کرتا ہے. صارف کے آغاز اپ فولڈر میں فائل کو ہر کمپیوٹر کے بعد دوبارہ پھانسی کو یقینی بنانے کے لۓ فائل.

یہ صارفین کو یہ یقین کرنے میں ایک کوشش ہے کہ یہ فائل Google تازہ کاری سروس کا حصہ ہے، جو عام طور پر انسٹال ہے Rong Hwa نے کہا کہ "C: Program Files Google Update" کے تحت، Rong Hwa نے کہا.

پچھلے دروازے کے پروگرام کو کمانڈ اور کن کنٹرول سرور میں بیک اپ سسٹم سسٹم جمع اور اپ لوڈ کرتی ہے. یہ ایک ڈاؤن لوڈ کرنے اور عمل کرنے کے لئے بھی شامل ہے. متاثرہ کمپیوٹرز پر اضافی فائلوں.

جیسا کہ دفاعی ٹیکنالوجیوں کو آگے بڑھانے کے لئے، میلویئر بھی ای وولز، رونگ ہاؤ نے کہا. اس مثال میں، میلویئر نے بہت سارے چالوں کو استعمال کیا ہے، جس میں انسانی رویے کا پتہ لگانے کے ذریعہ سینڈ باکس باکس تجزیہ پیش کرنا، نیٹ ورک کی سطح بائنری نکالنے والی ٹیکنالوجی کی کارکردگی کا مظاہرہ کرتے ہوئے عملدرآمد فائلوں کے ملٹی میڈیا XOR خفیہ کاری کی طرف سے، ایک جائز عمل کے طور پر مسلط کرتے ہوئے، فاسٹیکل تجزیہ کو ختم کرنے کی طرف سے فائل کا استعمال کرتے ہوئے انہوں نے کہا کہ غیر معمولی کوڈ براہ راست میموری میں بھرا ہوا ہے اور URL کو چھوٹا اور متحرک DNS خدمات کے ذریعہ ری ڈائریکٹری کا استعمال کرتے ہوئے خود کار ڈومین بلیک لسٹنگ کو روکنے کی روک تھام کرتا ہے.