بدافزاری که در صورت ردگیری، کامپیوتر را منهدم میکند
به تازگی بدافزاری تحت عنوان«رامبرتیک» طراحی شده که در صورت ردگیری آن در بررسی های امنیتی، کامپیوتر را به شکل فاجعه باری از کار می اندازد.
به گزارش ایرنا از آی تی ورلد، از این بدافزار که شرکت سیسکوسیستم Cisco Systems (شرکت آمریکایی تولیدکننده تجهیزات شبکه) نام رامبرتیک را بر آن گذاشته، طوری طراحی شده که هر متن ساده ای را که وارد پنجره مرورگر کامپیوتر شود رهگیری خواهد کرد.
بنابر اعلام سیسکو، بدافزار رامبرتیک از طریق هرزنامه ها و پیام های فیشینگ منتشر و به محض نصب و اجرا بر روی کامپیوترهای تحت ویندوز بررسی های خود را به منظور اینکه ردیابی شده یا خیر، آغاز می کند.
این رفتار برای بعضی از انواع بدافزارها رفتاری غیرمعمول به حساب نمی آید اما طبق اظهارات بن بیکر و آلکس چیو از سیسکو، بد افزار رامبرتیک از این جهت منحصر به فرد است که فعالانه تلاش می کند تا در صورت ردیابی شدن ویژگی هایش در طی تحلیل بدافزاری، کامپیوتر را نابود کند.
بدافزار رامبرتیک قبلا هم مورد استفاده قرار گرفته بود و نمونه های معروف استفاده از آن علیه اهدافی در کرهٔ شمالی در سال 2013 و سونی پیکچرز در سال 2014 بوده است.
آخرین بررسی که رامبرتیک انجام می دهد خطرناک ترین بررسی هاست، این بدافزار در آخرین بررسی خود به رایانش ترکیبی 32 بیتی از منبعی روی حافظه اقدام می کند و در صورتی که آن منبع یا زمان همگردانی دچار تغییر شود، نابودسازی خود را آغاز می کند.
این بدافزار ابتدا ام بی آر (Master Boost Record/MBR) را هدف می گیرد، ام بی ار اولین بخش از هارددرایو است که کامپیوتر قبل از بارگذاری سیستم عامل به آن رجوع می کند، اگر رامبرتیک به ام بی آر دسترسی نیابد، تمام فایل های موجود در پوشهٔ خانگی کاربر را با کدگذاری آن بوسیله کد اتفاقی آر سی 4 (RC4) از بین می برد.
به محض اینکه ام بی آر یا پوشه خانگی کدگذاری شد، کامپیوتر ری استارت شده و وارد چرخه ای بی انتها می شود که آن را از ری بوت کردن باز می دارد که در ادامه روی صفحه نمایش پیغام «Carbon crack attempt, failed» دیده می شود.
وقتی این بدافزار برای نخستین بار بر روی کامپیوتری نصب می شود، خود را از درون بسته بندی اش بیرون می کشد، حدود 97 درصد از محتوای فایل های بیرون آمده از بسته برای این طراحی شده اند که ظاهر آن را به نرم افزارهای قانونی شبیه کنند.
این محتویات مرکب از 75 تصویر و 8 هزار کارکرد جعلی اند که در واقع هرگز مورداستفاده هم قرار نمی گیرند، سیسکو اعلام کرده است که این بسته طوری طراحی شده که با بررسی تک تک کارکردها، تحلیلگران را شکست می دهد.
براین اساس، نرم افزار مذکور از ورود به مرحلهٔ سندباکس می گریزد یا کد را در هنگام بررسی ایزوله می کند، بعضی بدافزارها سعی می کنند تا زمانی که در سندباکس قرار دارند منتظر بمانند تا زمان آن بگذرد و بتوانند فعال شوند.
اما رامبرتیک بیدار باقی می ماند و هر بایت از داده را 960 میلیون بار روی حافظه می نویسد که این کار تحلیل را برای ابزار ردگیری اپلیکیشن پیچیده می سازد.
بنابه اعلام سیسکو، در صورتی که ابزار تحلیل سعی کند هر 960 میلیون مورد مذکور را بررسی کند، تعداد بررسی ها به بیش از 100 گیگابایت خواهد رسید.
- ۹۴/۰۲/۱۶