تازه ها

امنیت

فناوری اطلاعات

May 20, 2015
20:53 چهارشنبه، 30ام اردیبهشتماه 1394
کد خبر: 70266

ضربه‌ای فاجعه‌بار برای کاربران

نوع تازه‌ای از بدافزار، در صورت ردگیری شدن در بررسی‌های امنیتی، کامپیوتر را از کار می‌اندازد.
 
این بدافزار که سیسکو سیستمز، نام رامبرتیک را بر آن گذاشته طوری طراحی شده است که هر متن ساده‌ای را که وارد پنجرهٔ مرورگر شود رهگیری می‌کند و از طریق هرزنامه‌ها و پیام‌های فیشینگ منتشر می‌شود.
 
رامبرتیک به محض نصب و اجرا بر روی کامپیوترهای تحت ویندوز بررسی‌های خود را آغاز می‌کند تا دریابد که آیا ردیابی شده است یا نه.
 
این رفتار برای بعضی از انواع بدافزارها رفتاری غیرمعمول به حساب نمی‌آید اما به گفتهٔ کارشناسان امنیتی «از این نظر منحصربه‌فرد است که فعالانه تلاش می‌کند تا در صورت ردیابی‌شدن ویژگی‌هایش در طی تحلیل بدافزاری، کامپیوتر را نابود کند.»
 
این بدافزار قبلاً هم مورد استفاده قرار گرفته بود و نمونه‌های معروف استفاده از آن علیه اهدافی در کرهٔ شمالی در سال ۲۰۱۳ و سونی پیکچرز در سال ۲۰۱۴ بوده است.
 
آخرین بررسی‌ که رامبرتیک انجام می‌دهد خطرناک‌ترین بررسی‌هاست. این بدافزار در آخرین بررسی خود به رایانش ترکیبی ۳۲ بیتی از منبعی روی حافظه اقدام می کند و در صورتی که آن منبع یا زمان همگردانی دچار تغییر شود رامبرتیک شروع به نابودسازی خود می‌کند.
 
این بدافزار ابتدا ام‌بی‌آر را هدف می‌گیرد که اولین بخش از هارددرایو است که کامپیوتر قبل از بارگذاری سیستم‌عامل به آم رجوع می‌کند. اگر رامبرتیک به ام‌بی‌آر دسترسی نیابد، تمام فایل‌های موجود در پوشهٔ خانگی کاربر را با کدگذاری آن به‌وسیلهٔ کد اتفاقی آر‌سی‌۴ (RC4) از بین می‌برد.
 
به محض این‌که ام‌بی‌آر یا پوشهٔ خانگی کدگذاری شد، کاپیوتر ری‌استارت می‌شود. کامپیوتر وارد چرخه‌ای بی‌انتها می‌شود که آن را از ری‌بوت کردن باز‌می‌دارد. روی صفحه‌ نمایش این پیغام دیده می‌شود: «Carbon crack attempt, failed.»
 
وقتی این بدافزار برای نخستین بار بر روی کامپیوتری نصب می‌شود، خود را از درون بسته‌بندی‌اش بیرون می‌کشد. حدود ۹۷ درصد از محتوای فایل‌های بیرون‌آمده از بسته برای این طراحی شده‌اند که ظاهر آن را به نرم‌افزارهای قانونی شبیه کنند. این محتویات مرکب از ۷۵ تصویر و ۸۰۰۰ کارکرد جعلی‌اند که در واقع هرگز مورداستفاده هم قرار نمی‌گیرند.
 
بر اساس اطلاعات منتشر شده برروی سایت سازمان فناوری اطلاعات، سیسکو اعلام کرده است که این بسته طوری طراحی شده که با بررسی تک‌تک کارکردها، تحلیلگران را شکست بدهد.
 
بر این، نرم‌افزار مذکور از ورود به مرحلهٔ سندباکس می گریزد یا کد را در هنگام بررسی ایزوله می‌کند. بعضی بدافزارها سعی می‌کنند تا زمانی که در سندباکس قرار دارند منتظر بمانند تا زمان آن بگذرد و بتوانند فعال شوند.
 
اما رامبرتیک بیدار باقی می­‌ماند و هر بایت از داده را ۹۶۰ میلیون بار روی حافظه می‌نویسد که این کار تحلیل را برای ابزار ردگیری اپلیکیشن پیچیده می‌سازد.
 
بنا به اعلام سیسکو، اگر ابزار تحلیل سعی کند هر ۹۶۰ میلیون مورد مذکور را بررسی کند، تعداد بررسی‌ها به بیش از ۱۰۰ گیگابایت خواهد رسید.
در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.