loading...

کارمندان دولت مراقب نسخه جدید بدافزار H1N1 باشند

آکاایران: کارمندان دولت مراقب نسخه نوین بدافزار H1N1 باشند

آکاایران: بدافزار استخراج کننده اطلاعات

کارمندان دولت مراقب نسخه نوین بدافزار H1N1 باشند

کارمندان دولت مراقب نسخه جدید بدافزار H1N1 باشند
گزارشی که از سوی کارشناسان امنیتی شرکت سیسکو و ProofPrint منتشر شده است، نشان می دهد، بدافزار H1N1 به آرامی در حال تبدیل شدن به یک سارق اطلاعات است.

گزارشی که هفته گذشته شرکت سیسکو منتشر کرد، نشان می دهد نسخه جدیدتر بدافزار H1N1 به ویژگی های قدرتمندی تجهیز شده است که از آن جمله می توان به توانایی عبور از بخش کنترل دسترسی کاربر (UAC)، به کارگیری تکنیک جدیدی برای به سرقت بردن کتابخانه های پویا (Dll) و تکنیک های مبهم سازی کدها اشاره کرد. به طوری که روند مهندسی معکوس آن را به شدت دشوار کرده اند. در این میان ویژگی خودانتشاری این بدافزار به آن اجازه می دهد به سرعت به کامپیوترهایی موجود در شبکه نفوذ کرده یا درایوهای USB متصل به رایانه را آلوده سازد. این ویژگی های نوین به بدافزار H1N1 این توانایی را می دهند تا اطلاعات را از سیستم های آلوده جمع آوری کرده، آن ها را با استفاده از الگوریتم RC4 رمزنگاری کرده و برای مرکز کنترل و فرماندهی ارسال کند.

کارمندان دولت مراقب نسخه جدید بدافزار H1N1 باشند

H1N1 این توانایی را دارد تا اطلاعات را از درون پروفایل لاگین مرورگر فایرفاکس و ویژگی پر کردن هوشمند خودکار فرم های اینترنت اکسپلورر و همچنین آتلوک مایکروسافت استخراج کند. پاک کردن کپی های سایه ای (shadow copies) و غیرفعال سازی گزینه های بازیابی سیستم عامل در عمل نه تنها به کاربر اجازه بازگرداندن اطلاعات از دست رفته را نمی دهد، بلکه ردپاهای موجود بدافزار را نیز پاک می کند. جاش رینولدز پژوهشگر امنیتی سیسکو در این ارتباط گفته است: این قابلیت های به طور معمول در ارتباط با باج افزار مورد استفاده قرار می گیرد، با این وجود ما هنوز شواهدی که به ما نشان دهد H1N1 در حال بارگذاری این چنین بدافزارهایی است مشاهده نکرده ایم.» نسخه های قدیمی تر بدافزار H1N1 به طور سیل آسایی قادر به توزیع بدافزارهای بانکی Vartrack یا Pony بودند، اما نسخه نوین تنها H1N1 را منتشر کرده و کار دیگری انجام نمی دهد. با این وجود H1N1 هنوز هم می تواند بدافزارهایی را روی سیستم قربانیان بارگذاری کند. تحلیل ها نشان می دهد که بدافزار فوق اکنون در حال ارسال حجم گسترده ای از هرزنامه ها است. این هرزنامه ها در قالب فایل های Doc که درون ضمیمه ایمیل ها قرار دارند، ارسال می شوند. این فایل ها از ترفند قدیمی ماکرو فعال ساز Enable Editing استفاده می کنند.

مایکرویی که مجهز به یک اسکرپیت VBA بوده و به منظور دانلود و نصب H1N1 مورد استفاده قرار می گیرد. نسخه نوین به طور ویژه سازمان های مالی، انرژی، ارتباطی، نظامی و بخش های دولتی را هدف قرار داده است. ایمیل ها با موضوعات فربینده ای برای کارکنان هر یک از این نهادها ارسال می شوند. تحقیقات انجام گرفته نشان می دهد، گروهی از مجرمان سایبری که سابقه توزیع بدافزارهای مرتبطی همچون درب پشتی Bayrob، بدافزار RorNix، بدافزار Zeus و... را داشته اند در پشت طراحی نسخه نوین بدافزار H1N1 قرار دارند. امت کوین، کارشناس امنیتی سیسکو در این ارتباط گفت: «بدافزار H1N1 یک نمونه عینی و مشهود از بدافزارهایی است که با گذشت زمان روند تکامل را پشت سر گذاشته اند  همین موضوع خطرناک بودن آن ها را دو چندان می کند. تکنیک مشوش سازی کدهای درون فایل اجرایی نشان می دهد، نویسندگان بدافزار کاملا مصمم هستند تا از کدهای خود محافظت به عمل آورند. حتا اگر این مشکل نیز حل شود پژوهشگران هنوز هم با چالش های خیلی بزرگ تری در ارتباط با تحلیل این بدافزار روبرو هستند.»

.

منبع : shabakeh-mag.com

تبلیغات