۳۱ ارديبهشت ۱۳۹۴ - ۰۸:۴۸
کد خبر: ۱۳۹۹۹
سیسکو به کاربران هشدار داد:
شرکت سیسکو موفق به شناسایی بدافزاری شده که کامپیوتر را در صورت ردگیری شدن در بررسی‌های امنیتی از کار خواهد انداخت.
به گزارش پایگاه اطلاع رسانی پایداری ملی، سیسکو سیستمز بدافزاری به نام رامبرتیک را شناسایی کرد که قادر است هر متن ساده‌‌ای را که وارد پنجره مرورگر شود رهگیری  و از طریق هرزنامه‌ها و پیام‌های فیشینگ منتشر کند. 

رامبرتیک بررسی‌های خود را بلافاصله پس از نصب و اجرا بر روی کامپیوترهای تحت ویندوز آغاز می‌کند تا دریابد که آیا ردیابی شده است یا خیر. این رفتار برای بعضی از انواع بدافزارها رفتاری غیرمعمول به حساب نمی‌آید اما به گفته کارشناسان امنیتی رامبرتیک، از این نظر منحصربه‌فرد است که فعالانه در تلاش است تا در صورت ردیابی‌شدن ویژگی‌هایش در طول تحلیل بدافزاری، کامپیوتر را نابود کند. 

این بدافزار پیش از این نیز مورد استفاده قرار گرفته بود و نمونه‌های معروف استفاده از آن علیه اهدافی در کره شمالی در سال ۲۰۱۳ و سونی پیکچرز در سال ۲۰۱۴ بوده است. 

آخرین بررسی‌ که رامبرتیک انجام می‌دهد خطرناک‌ترین بررسی‌هاست. این بدافزار در آخرین بررسی خود به رایانش ترکیبی ۳۲ بیتی از منبعی روی حافظه اقدام می‌کند و درصورتی که آن منبع یا زمان هم‌گردانی دچار تغییر شود رامبرتیک شروع به نابودسازی خود می‌کند. 

این بدافزار ابتدا ام‌بی‌آر را هدف می‌گیرد که اولین بخش از هارددرایو است و کامپیوتر قبل از بارگذاری سیستم‌عامل به آن رجوع می‌کند. اگر رامبرتیک به ام‌بی‌آر دسترسی نیابد تمام فایل‌های موجود در پوشه خانگی کاربر را با کدگذاری آن به‌وسیله کد اتفاقی آر‌سی‌۴ (RC۴) از بین می‌برد. به‌محض این‌که ام‌بی‌آر یا پوشه خانگی کدگذاری شد، کامپیوتر ری‌استارت شده و وارد چرخه‌ای بی‌انتها می‌شود که آن را از ری‌بوت کردن باز‌می‌دارد. روی صفحه‌ نمایش نیز این پیغام دیده می‌شود: «Carbon crack attempt, failed» 

وقتی این بدافزار برای نخستین‌بار بر روی کامپیوتری نصب می‌شود، خود را از درون بسته‌بندی‌اش بیرون می‌کشد. حدود ۹۷ درصد از محتوای فایل‌های بیرون‌آمده از بسته برای این طراحی شده‌اند که ظاهر آن را به نرم‌افزارهای قانونی شبیه کنند. این محتویات مرکب از ۷۵ تصویر و ۸۰۰۰ کارکرد جعلی‌اند که در واقع هرگز مورداستفاده هم قرار نمی‌گیرند. 

بنابر اعلام سیسکو، این بسته طوری طراحی شده که با بررسی تک‌تک کارکردها، تحلیلگران را شکست بدهد. 

نرم‌افزار مذکور از ورود به مرحله سندباکس می‌گریزد یا کد را در هنگام بررسی ایزوله می‌کند. بعضی بدافزارها سعی می‌کنند تا زمانی که در سندباکس قرار دارند منتظر بمانند تا زمان آن بگذرد و بتوانند فعال شوند؛ اما رامبرتیک بیدار باقی می­‌ماند و هر بایت از داده را ۹۶۰ میلیون بار روی حافظه می‌نویسد که این کار تحلیل را برای ابزار ردگیری اپلیکیشن پیچیده می‌سازد. 

طبق گزارش سیسکو، اگر ابزار تحلیل سعی کند هر ۹۶۰ میلیون مورد مذکور را بررسی کند، تعداد بررسی‌ها به بیش از ۱۰۰ گیگابایت خواهد رسید.
گزارش خطا
ارسال نظرات
نام
ایمیل
نظر