https://virgool.io/feed/@mahdiyarsec تحلیل‌گر امنیت سایبری fa 2026-06-21 15:54:50 https://files.virgool.io/upload/users/444967/avatar/FUA9gw.jpeg?height=120&width=120 https://virgool.io/@mahdiyarsec https://virgool.io/@mahdiyarsec/%D8%A8%D8%B1%D8%B1%D8%B3%DB%8C-%DA%A9%D9%88%D8%AA%D8%A7%D9%87-%D9%86%D9%85%D9%88%D9%86%D9%87-%D9%81%D8%A7%DB%8C%D9%84-%D9%85%D8%AE%D8%B1%D8%A8-notepad-ul6bcirjxp3a بررسی Trend Micro بر روی فایل مخرب NP++ با توجه به پروسس‌هایی که باهاش لینک میشن، نشان از backdoor بودن اون داره. یکی از روش هایی که برای پیدا کردن پروسس های مخرب استفاده میشه، توجه کردن به نام پروسس ایجاد شده است. به طور معمول، NP++ از نام notepad++.exe استفاده می‌کنه، اما این نسخه‌ی مخرب از نام notepad.exe بهره گرفته که در نگاه اول غیرعادی به نظر میاد:نام غیرمعمول پردازشهمین امر دلیل خوبی برای بررسی بیشتر این پردازش هست. با توجه به بررسی که انجام شده، این نسخه‌ی مخرب فعالیت خودش رو با اجرای دستورات و ابزارهای زیر جلو میبره:زنجیره فعالیت‌های مخرب پردازشبعد از آلوده کردن اولین ماشین، پخش شدن نسخه آلوده NP++ و فایل config.dat از طریق admin share اتفاق میفته لازم به ذکر هست که این نسخه‌ی آلوده از مرجع اصلی گرفته نشده و از منبعی غیررسمی دانلود شده که نشان‌دهنده‌ی اهمیت استفاده از ابزارهای رسمی (به خصوص در ویندوز) اشاره داره. Mahdiyar Mahdiyar Sun, 06 Dec 2020 20:53:03 +0330