ایتنا -کارشناسان لابراتوار کسپرسکی یک متغیر کشف کردند که تلاش میکند یک آنتی ویروس جعلی را روی سیستم عامل Mac OSX، در کنار دیگر بدافزارها، دانلود و نصب کند.
آزمایشگاه کسپرسکی، از کشف روتکیتهایی چند منظوره که هم سیستمهای ویندوز ۶۴بیتی و هم ۳۲بیتی را تهدید میکنند، خبر داد.
به گزارش ایتنا، قابلیت اصلی روت کیت ۶۴بیتی این است که سعی نمیکند از سیستم محافظتی کرنل PatchGuard عبور کند.
اما در عوض از امضای دیجیتال خاصی برای توسعهدهندگان نرمافزار استفاده میکند.
این روتکیت از طریق یک دانلودر که سعی میکند نرمافزارهای خطرناک دیگری را نصب کند، منتشر میشود.
کارشناسان لابراتوار کسپرسکی یک متغیر کشف کردند که تلاش میکند یک آنتی ویروس جعلی را روی سیستم عامل Mac OSX، در کنار دیگر بدافزارها، دانلود و نصب کند.
البته این بدافزار مسلما در محیط ویندوز کار نمیکند که نشان میدهد علاقهمندیهای تبهکاران سایبر در زمینه سکوهای نرمافزاری جایگزین در حال رشد است.
روت کیتها برنامههای خطرناکی هستند که معمولا در قالب درایور وجود دارند و میتوانند داخل سطح کرنل یک سیستم عامل به اجرا دربیایند و هنگام بوت شدن سیستم بارگذاری شوند.
این امر باعث میشود تشخیص روت کیتها با استفاده از ابزارهای محافظتی استاندارد دشوار باشد.
روت کیتهای مورد بحث از طریق یک دانلودر منتشر میشوند که از یک بسته خرابکاری به نام BlackHoleExploitkit استفاده میکند.
معمولا رایانههای کاربران در اثر بازدید از وبسایتهای حاوی دانلودر آلوده میشود، و تعدادی از آسیب پذیریهای نرمافزارهای متداول مثل محیط اجرایی جاوا و ادوبی برای حمله به ماشین هدف مورد استفاده واقع میشوند.
این دانلودر برای آلوده سازی سیستمهای ویندوزی از هر دو نوع ۳۲بیتی و ۶۴بیتی که یکی از دو روت کیت مربوط را داشته باشد، استفاده میشود.
الکساندر گوستف، کارشناس امنیتی ارشد لابراتوار کسپرسکی، در این باره میگوید: «این درایور ۶۴بیتی با چیزی به نام «امضای دیجیتال تست گیری» امضا شده است.
اگر ویندوز از نوع ویستا یا بالاتر در حالت TEST SIGNING بوت شود، برنامهها میتوانند به درایورهای امضا شده با چنین امضایی دسترسی یابند.
این یک دریچه (trap door) ویژه است که مایکروسافت برای توسعه دهندگان درایور باقی گذاشته تا بتوانند تولیدات خود را تست کنند.
تبهکاران سایبر نیز از این روزنه استفاده میکنند تا درایورهایشان را بدون امضای قانونی اجرا کنند.
این نمونهای دیگر از یک روت کیت است که نیاز به عبور از سامانه محافظتی PatchGuard (موجود در آخرین نسخههای ویندوز ۶۴بیتی) ندارند.»
این گزارش میافزاید هر دو روت کیت عملکردی مشابه دارند. آنها مانع تلاشهای کاربران برای نصب یا اجرای برنامههای ضد بدافزار متداول میشوند و با دخالت و نظارت فعال سیستم به طور موثری از خودشان محافظت میکنند.
همچنان که روت کیت آسیب پذیریهای رایانه را مورد تهاجم قرار میدهد، دانلودر نیز سعی میکند کدهایی خطرناک (از جمله آنتی ویروس جعلی فوقالذکر برای سیستم عامل OS X مکینتاش) را یافته و به اجرا درآورد.
این ضدویروس جعلی تحت عنوان Hoax. OSX. Defma. f شناخته میشود و یکی از تهدیدهای سیستمعامل OSX مکینتاش است که به طور روزافزونی در حال تبدیل شدن به هدف بهتری برای تبهکاران سایبر است.
این مثال نشان میدهد که نرمافزارهای خطرناک به طور پیچیدهتری در حال رشد هستند و در حال رفتن به سوی اجزای متنوعی هستند که در خدمت اهداف مشخصی میباشند.
هدف این تهدیدها ممکن است نسخههای مختلفی از سیستمهای عامل یا حتی سکوهای نرمافزاری مختلف باشد.
گفتنی است، محصولات آزمایشگاه کسپرسکی قادر به تشخیص موفقیتآمیز تروجان دانلودر Win۳۲. Necurs. a و روتکیتهای متناظرش (Rootkit. Win۳۲. Necurs. a و Rootkit. Win۶۴. Necurs. a) و چارهجویی برای آنها هستند.