۰
plusresetminus
شنبه ۱۹ ارديبهشت ۱۳۹۴ ساعت ۱۱:۵۷

شناسایی نوع جدید بدافزار سایبری

انتشار با هرزنامه هاو صفحات جعلی
ایتنا- در صورتی‌که رامبرتیک موفق به ردگیری کامپیوتر کاربر شود آن را از کار می‌اندازد.
شناسایی نوع جدید بدافزار سایبری


مؤسسات امنیتی از شناسایی نوع جدیدی از بدافزار سایبری خبر دادند که در صورت ردگیری کامپیوتر کاربر را از کار می‌اندازند و آن را نابود می‌کند.

به گزارش ایتنا از مهر، سازمان فناوری اطلاعات ایران اعلام کرد: این بدافزار که سیسکو سیستمز (Cisco Systems) نام «رامبرتیک» را بر آن گذاشته طوری طراحی شده که هر متن ساده‌ای را که وارد پنجره مرورگر شود رهگیری کند؛ بنا بر اعلام سیسکو، این بدافزار از طریق هرزنامه‌ها و پیام‌های فیشینگ منتشر می‌شود.

رامبرتیک به محض نصب و اجرا بر روی کامپیوترهای تحت ویندوز، بررسی‌های خود را آغاز می‌کند تا دریابد که آیا ردیابی شده است یا نه.

این رفتار برای بعضی از انواع بدافزارها رفتاری غیرمعمول به حساب نمی‌آید اما به گفته بن بیکر و آلکس چیو از سیسکو، رامبرتیک «از این نظر منحصربه‌فرد است که فعالانه تلاش می‌کند تا در صورت ردیابی‌شدن ویژگی‌هایش در طی تحلیل بدافزاری، کامپیوتر را نابود کند.»

این بدافزار قبلا هم مورد استفاده قرار گرفته بود و نمونه‌های معروف استفاده از آن علیه اهدافی در کره شمالی در سال ۲۰۱۳ و سونی پیکچرز در سال ۲۰۱۴ بوده است.

آخرین بررسی‌ که رامبرتیک انجام می‌دهد خطرناک‌ترین بررسی‌هاست؛ این بدافزار در آخرین بررسی خود به رایانش ترکیبی ۳۲ بیتی از منبعی روی حافظه اقدام می‌کند و در صورتی که آن منبع یا زمان همگردانی دچار تغییر شود رامبرتیک شروع به نابودسازی خود می‌کند.

این بدافزار ابتدا ام‌بی‌آر (Master Boost Record/MBR) را هدف می‌گیرد.

ام‌بی‌ار اولین بخش از هارددرایو است که کامپیوتر قبل از بارگذاری سیستم‌عامل به آن رجوع می‌کند.

اگر رامبرتیک به ام‌بی‌آر دسترسی نیابد، تمام فایل‌های موجود در پوشه خانگی کاربر را با کدگذاری آن به‌وسیله کد اتفاقی آر‌سی‌4 (RC4) از بین می‌برد.

به محض این‌که ام‌بی‌آر یا پوشه خانگی کدگذاری شد، کامپیوتر ری‌استارت می‌شود.

کامپیوتر وارد چرخه‌ای بی‌انتها می‌شود که آن را از ری‌بوت کردن باز‌می‌دارد. روی صفحه‌ نمایش این پیغام دیده می‌شود: «Carbon crack attempt, failed. »

وقتی این بدافزار برای نخستین بار بر روی کامپیوتری نصب می‌شود، خود را از درون بسته‌بندی‌اش بیرون می‌کشد.

حدود 97 درصد از محتوای فایل‌های بیرون‌آمده از بسته برای این طراحی شده‌اند که ظاهر آن را به نرم‌افزارهای قانونی شبیه کنند. این محتویات مرکب از 45 تصویر و 8000 کارکرد جعلی‌اند که در واقع هرگز مورداستفاده هم قرار نمی‌گیرند.

سیسکو اعلام کرده است که این بسته طوری طراحی شده که با بررسی تک‌تک کارکردها، تحلیلگران را شکست بدهد.

نرم‌افزار مذکور از ورود به مرحله سندباکس می‌گریزد یا کد را در هنگام بررسی ایزوله می‌کند.

بعضی بدافزارها سعی می‌کنند تا زمانی که در سندباکس قرار دارند منتظر بمانند تا زمان آن بگذرد و بتوانند فعال شوند؛ اما رامبرتیک بیدار باقی می­‌ماند و هر بایت از داده را 960 میلیون بار روی حافظه می‌نویسد که این کار تحلیل را برای ابزار ردگیری اپلیکیشن پیچیده می‌­سازد.

بنا به اعلام سیسکو، اگر ابزار تحلیل سعی کند هر 960 میلیون مورد مذکور را بررسی کند، تعداد بررسی‌ها به بیش از 100 گیگابایت خواهد رسید.
کد مطلب: 35928
نام شما
آدرس ايميل شما

مهمترين اقدام برای پيشگیری از تکرار امثال کوروش کمپانی؟
اصلاح قوانين
برخورد قاطع
اصلاح گمرکات
آزاد کردن بازار
آگاه سازی مردم
هيچکدام