استفاده از روت‌كيت Necurs برای حفاظت از بدافزار Gameover

استفاده از روت‌كيت Necurs برای حفاظت از بدافزار Gameover

تاریخ ایجاد

شماره: IRCNE2014032121
تاريخ:11/12/92

با توجه به يافته هاي محققان امنيتي از شركت Sophos، نوع جديدي از بدافزار Gameover كه اعتبارنامه هاي بانكي را به سرقت مي برد داراي روت كيتي در سطح هسته مي باشد كه باعث مي شود سخت تر از روي سيستم حذف گردد.
Gameover يك تروجان كامپيوتري مبتني بر بدافزار بانكداري زئوس مي باشد كه كد منبع آن سال 2011 بر روي اينترنت منتشر شد. فعاليت اين بدافزار با ديگر برنامه هاي تروجاني مبتني بر زئوس متفاوت است زيرا اين بدافزار براي كنترل كردن و فرمان دادن به جاي سرور از فناوري نظير به نظير استفاده مي كند در نتيجه غيرفعال كردن آن دشوارتر مي باشد.
اوايل ماه فوريه محققان شركت امنيتي Malcovery گزارش دادند كه گونه جديدي از بدافزار Gameover در قالب فايل .enc در حال توزيع مي باشد. محققان شركت امنيتي Sophos روز پنج شنبه در پستي اعلام كردند كه نويسندگان اين بدافزار به منظور حفاظت از آن از روت كيت هسته با عنوان Necurs استفاده كردند. اين روت كيت باعث مي شود تا فرآيند بدافزار به راحتي خاتمه نيابد و فايل هاي آن به سختي حذف گردد.
آخرين نوع اين بدافزار از طريق ايميل هاي هرزنامه اي كه حاوي فايل پيوست .zip بودند توزيع شد. اين پيوست شامل برنامه تروجان Gameoverنبود بلكه حاوي يك برنامه دانلودكننده مخرب با عنوان Upatre بود كه در صورت اجرا مي توانست بدافزار بانكداري را دانلود و نصب نمايد.
در صورت نصب موفق بدافزار، نوع جديد Gameover سعي مي كند تا روت كيت Necurs را بر روي ماشين قرباني نصب كند. اين بدافزار به منظور نصب درايوهاي Necurs با حق دسترسي ادمين، از آسيب پذيري گرفتن بالاترين حق دسترسي در ويندوز سوء استفاده مي كند. اين آسيب پذيري در سال 2010 توسط شركت مايكروسافت اصلاح شده است. در صورتي كه اين آسيب پذيري بر روي سيستم قرباني اصلاح شده باشد، اين بدافزار از كنترل دسترسي كاربر (UAC) استفاده مي كند تا از كاربر براي دسترسي ادمين سوال نمايد. اگر كاربر در هر صورتي به اين درخواست پاسخ مثبت دهد، اين درايورها پس از نصب از مولفه هاي Gameover حفاظت مي كنند.
بنا به گفته محققان، روت كيت باعث مي شود تا اين بدافزار از روي سيستم آلوده شده به راحتي حذف نشود و مدت زمان طولاني تري بر روي سيستم باقي بماند، در نتيجه داده هاي بيشتري از سيستم قرباني به سرقت مي رود.
با توجه به گزارشي كه اخيرا توسط Dell SecureWorks منتشر شده است، در سال 2013 انواع تروجان هاي زئوس حدود نيمي از بدافزارهاي بانكي را تشكيل مي دهد.
علاوه بر سرقت اعتبارنامه هاي بانكداري آنلاين و اطلاعات مالي، مجرمان سايبري از اين بدافزار به طور فزاينده اي براي جمع آوري انواع ديگر داده ها استفاده مي كنند.

مطالب مرتبط:
انتشار مجدد بدافزار بانكداري زئوس

برچسب‌ها
اخبار
  • 2