هشدار کسپرسکی مواظب این روت کیت خطرناک باشید - امنیت - اخبار

هشدار کسپرسکی مواظب این روت کیت خطرناک باشید

دسته : امنیت در تاريخ ۱۳۹۰/۳/۳۰ ۵:۵۴:۰۳ (1393 بار خوانده شده)
ایتنا -کار‌شناسان لابراتوار کسپرسکی یک متغیر کشف کردند که تلاش می‌کند یک آنتی ویروس جعلی را روی سیستم عامل Mac OSX، در کنار دیگر بدافزار‌ها، دانلود و نصب کند.



آزمایشگاه کسپرسکی، از کشف روت‌کیت‌هایی چند منظوره که هم سیستم‌های ویندوز ۶۴بیتی و هم ۳۲بیتی را تهدید می‌کنند، خبر داد.

به گزارش ایتنا، قابلیت اصلی روت کیت ۶۴بیتی این است که سعی نمی‌کند از سیستم محافظتی کرنل PatchGuard عبور کند.
اما در عوض از امضای دیجیتال خاصی برای توسعه‌دهندگان نرم‌افزار استفاده می‌کند.
این روت‌کیت از طریق یک دانلودر که سعی می‌کند نرم‌افزارهای خطرناک دیگری را نصب کند، منتشر می‌شود.

کار‌شناسان لابراتوار کسپرسکی یک متغیر کشف کردند که تلاش می‌کند یک آنتی ویروس جعلی را روی سیستم عامل Mac OSX، در کنار دیگر بدافزار‌ها، دانلود و نصب کند.

البته این بدافزار مسلما در محیط ویندوز کار نمی‌کند که نشان می‌دهد علاقه‌مندی‌های تبهکاران سایبر در زمینه سکوهای نرم‌افزاری جایگزین در حال رشد است.

روت کیت‌ها برنامه‌های خطرناکی هستند که معمولا در قالب درایور وجود دارند و می‌توانند داخل سطح کرنل یک سیستم عامل به اجرا دربیایند و هنگام بوت شدن سیستم بارگذاری شوند.

این امر باعث می‌شود تشخیص روت کیت‌ها با استفاده از ابزارهای محافظتی استاندارد دشوار باشد.

روت کیت‌های مورد بحث از طریق یک دانلودر منتشر می‌شوند که از یک بسته خرابکاری به نام BlackHoleExploitkit استفاده می‌کند.

معمولا رایانه‌های کاربران در اثر بازدید از وب‌سایت‌های حاوی دانلودر آلوده می‌شود، و تعدادی از آسیب پذیری‌های نرم‌افزارهای متداول مثل محیط اجرایی جاوا و ادوبی برای حمله به ماشین هدف مورد استفاده واقع می‌شوند.

این دانلودر برای آلوده سازی سیستم‌های ویندوزی از هر دو نوع ۳۲بیتی و ۶۴بیتی که یکی از دو روت کیت مربوط را داشته باشد، استفاده می‌شود.

الکساندر گوستف، کار‌شناس امنیتی ارشد لابراتوار کسپرسکی، در این باره می‌گوید: «این درایور ۶۴بیتی با چیزی به نام «امضای دیجیتال تست گیری» امضا شده است.

اگر ویندوز از نوع ویستا یا بالا‌تر در حالت TEST SIGNING بوت شود، برنامه‌ها می‌توانند به درایورهای امضا شده با چنین امضایی دسترسی یابند.

این یک دریچه (trap door) ویژه است که مایکروسافت برای توسعه دهندگان درایور باقی گذاشته تا بتوانند تولیدات خود را تست کنند.

تبهکاران سایبر نیز از این روزنه استفاده می‌کنند تا درایور‌هایشان را بدون امضای قانونی اجرا کنند.

این نمونه‌ای دیگر از یک روت کیت است که نیاز به عبور از سامانه محافظتی PatchGuard (موجود در آخرین نسخه‌های ویندوز ۶۴بیتی) ندارند.»

این گزارش می‌افزاید هر دو روت کیت عملکردی مشابه دارند. آن‌ها مانع تلاش‌های کاربران برای نصب یا اجرای برنامه‌های ضد بدافزار متداول می‌شوند و با دخالت و نظارت فعال سیستم به طور موثری از خودشان محافظت می‌کنند.

همچنان که روت کیت آسیب پذیری‌های رایانه را مورد تهاجم قرار می‌دهد، دانلودر نیز سعی می‌کند کدهایی خطرناک (از جمله آنتی ویروس جعلی فوق‌الذکر برای سیستم عامل OS X مکینتاش) را یافته و به اجرا درآورد.

این ضدویروس جعلی تحت عنوان Hoax. OSX. Defma. f شناخته می‌شود و یکی از تهدیدهای سیستم‌عامل OSX مکینتاش است که به طور روزافزونی در حال تبدیل شدن به هدف بهتری برای تبهکاران سایبر است.

این مثال نشان می‌دهد که نرم‌افزارهای خطرناک به طور پیچیده‌تری در حال رشد هستند و در حال رفتن به سوی اجزای متنوعی هستند که در خدمت اهداف مشخصی می‌باشند.

هدف این تهدید‌ها ممکن است نسخه‌های مختلفی از سیستم‌های عامل یا حتی سکوهای نرم‌افزاری مختلف باشد.

گفتنی است، محصولات آزمایشگاه کسپرسکی قادر به تشخیص موفقیت‌آمیز تروجان دانلودر Win۳۲. Necurs. a و روت‌کیت‌های متناظرش (Rootkit. Win۳۲. Necurs. a و Rootkit. Win۶۴. Necurs. a) و چاره‌جویی برای آن‌ها هستند.