واضح آرشیو وب فارسی:فان پاتوق: تشخيص ضدويروس فعال در كامپيوتر كاربر
علي حسيني
اشاره: نويسندگان تروجان جديد Carberp قابليت جديدی را به آن افزوده.اند که با استفاده از آن تشخيص می.دهد چه ضدويروسی در کامپيوتر کاربر فعال است. به گفته پژوهشگران امنیتی Seculert مجرمان اينترنتی گاهي از سرويس.هاي پولي «تشخيص ويروس» استفاده مي.كنند و به همين دليل، اطلاعات مربوط به ضدويروس.ها را از کامپيوترهای آلوده گردآوری می.کنند تا ببينند آيا با نتايج حاصل از سرويس.هاي پولي همخوانی دارد يا خير. نتيجه اين راهبرد، فائق آمدن بر نرم.افزارهای ضدويروس است
نويسندگان تروجان جديد Carberp قابليت جديدی را به آن افزوده.اند که با استفاده از آن تشخيص می.دهد چه ضدويروسی در کامپيوتر کاربر فعال است. به گفته پژوهشگران امنیتی Seculert مجرمان اينترنتی گاهي از سرويس.هاي پولي «تشخيص ويروس» استفاده مي.كنند و به همين دليل، اطلاعات مربوط به ضدويروس.ها را از کامپيوترهای آلوده گردآوری می.کنند تا ببينند آيا با نتايج حاصل از سرويس.هاي پولي همخوانی دارد يا خير. نتيجه اين راهبرد، فائق آمدن بر نرم.افزارهای ضدويروس است.
اين سرويس.هاي پولي مشابه آنچه که سرويس. Virus Total انجام می.دهد، است که در آن کاربران می.توانند با آپلود کردن فايل.های مشکوک به اين سرويس.های مفيد آن.ها را اسکن کرده و از امنيت آن.ها مطمئن شوند. در سرويس.هايي كه توسط شركت.هاي امنيتي اجرا مي.شوند. فايل.های مشکوکی که سيستم.های شناسایی را دور بزنند، در جامعه ضدويروس به اشتراک گذاشته می.شوند تا امضاهای جديدی برای آن.ها ايجاد شود. چنين سرويس.هایی برای هکرها ايده.آل محسوب می.شوند، زيرا اين افراد پيش از آن.که بدافزارهايشان را منتشر.کنند، آن.ها را در اين سايت.ها آپلود می.کنند تا ببينند آيا بدافزارهايشان از طرف اين سرويس.ها به عنوان فايل.های آلاينده شناسایی می.شوند يا خير؟ بدافزار Carberp که مدت.ها است از سوی پژوهشگران تحت مطالعه قرار دارد قابليت.های جديدی به خود گرفته تا خود را از چشم کاربران پنهان کند.
اين بدافزار که کامپيوترهای ويندوزی را آلوده می.کند، در اکتبر سال گذشته توسط چندين شرکت امنیتی شناسایی شده.بود و .توانست به طيف گسترده.ای از داده.ها دسترسی پيدا کند، نرم.افزار ضدويروس را پاک کند و با تغيير ظاهر خود چنين وانمود کند که جزء فايل.های خود ويندوز است از اين.رو، به عنوان یکی از رقبای بدافزار زئوس قلمداد شد.Carberp در قالب پيغام.های رمزنگاری شده HTTP با يک سرور فرمان و کنترل يا به اصطلاح C&C ارتباط برقرار می.کند. نسخه.های پيشين اين بدافزار با استاندارد RC4 و با کليد يکسانی رمزنگاری می.شدند. استفاده از کليد رمزنگاری يکسان باعث می.شد تا سيستم.های امنیتی کنترل ورودي.های غيرمجاز، با سهولت بيشتری ترافيک شبکه را تحليل کرده و ارتباط.های احتمالی بين کامپيوترهای آلوده.شده توسط اين بدافزار و سرورهای C&C را شناسایی کنند.
اما نسخه.ای جديد از Carberp موقع ايجاد يک درخواست HTTP از کليدهای رمزنگاری تصادفی بهره می.برد و همين موضوع کار را پيچيده می.کند، زيرا پيش.تر که Carberp از کليد يکسانی استفاده می.کرد می.شد الگوهای يکسانی به دست آورد و با استفاده از آن.ها بدافزار را شناسایی کرد. اين در شرايطی است که حتی زئوس نيز که به دليل مهندسی پيشرفته.اش توجه زيادی را به خود جلب کرده، فقط از يک کليد که به خود بدافزار الصاق شده استفاده می.کند. بيشتر راهبردهای امنیتی مبتنی بر شبکه از امضاهای مخصوص ترافيک شبکه بهره می.برند تا بتوانند بات..هایی را که قصد دارند به سرورهای C&C متصل شوند، شناسایی کنند. اما قابليت جديد به کار رفته در Carberp چنين راهبردهایی را دور می.زند و ايجاد اين امضاهای ويژه را دشوار و حتی غيرممکن می.کند.
نکته ديگر اين.كه Carberp دامنه اهداف خود را گسترش داده و در حالي.که نسخه.های پيشين آن به بانک.های هلند و ايالات.متحده حمله می.کرد، اکنون کشورهای روسي زبان را نيز به محدوده حمله.هاي خود اضافه.کرده.است. از زمانی که TrustDefender و Trend Micro درخصوص تهديد شدن حساب.های بانکی توسط تروجان Carberp گزارش.هایی منتشر کردند، اين بدافزار از چشم شرکت.های امنیتی دور نمانده است. پيش.بینی می.شود، Carberp دنباله.رو راه کيت.های آلاينده. SpyEye و Siberia باشد و برای مقابله با برنامه.های ضدويروس با یکی از سرويس.های اسکن که در بالا ذکر شد، ارتباط برقرار کند.
این صفحه را در گوگل محبوب کنید
[ارسال شده از: فان پاتوق]
[تعداد بازديد از اين مطلب: 174]