طراحی روش پایداری جدید در بدافزار Kovter

محققان امنیتی شرکت مایکروسافت به تازگی هشدارهایی را در مورد یک بدافزار داده‌اند. این محققان اعلام کرده‌اند که یک بدافزار با نام Kovter را مشاهده کرده‌اند که در هفته‌های گذشته پرکار بوده است و در قالب یک پرونده به‌روزرسانی مرورگر گوگل کروم، کاربران را مورد حمله قرار می‌دهد. نکته‌ای که امروزه هر کارشناسی در فضای مجازی به آن تأکید دارد، این است که نفوذگران همواره بدافزارها و برنامه‌های مورد استفاده خود را به‌روزرسانی می‌کنند تا حملات خود را به بهترین نحو انجام دهند. طراحان بدافزار Kovter نیز در ماه‌های گذشته در این خصوص بسیار فعال بوده‌اند. این افراد در ماه آوریل، برخی قابلیت‌های باج‌افزاری را به این بدافزار بدون پرونده اضافه کردند و چند هفته پیش نیز این بدافزار را به شکل یک پرونده به‌روزرسانی مرورگر فایرفاکس در آوردند.

محققان بخش محافظت از بدافزار شرکت مایکروسافت نیز به تازگی کشف کرده‌اند که طراح اصلی این بدافزار ، بخش روش پایداری این بدافزار را به تازگی به‌روزرسانی کرده است. این محققان امنیتی همچنین گزارش‌هایی را در مورد تغییرات رخ‌داده در پویش‌های مربوط به این بدافزار مخابره کرده‌اند. بنا به گفته آن‌ّها، روش پایدار جدید که برای اولین بار در ماه گذشته مشاهده شد، کار را برای نرم‌افزارهای ضدویروس در جبران مشکلات به وجود آمده سخت می‌کند.

بدافزار Kovter که به دلیل توانایی آلوده‌سازی بدون پرونده خود شناخته می‌شود، یک پسوند جدید و تصادفی را برای یک پرونده طراحی می‌کند و سپس آن را در فرآیند نصب، ثبت می‌کند. این بدافزار سپس یک دستور New shell open verb را برای کنترل این پسوند تعریف می‌کند. بدافزار نیز به این منظور از یک مجموعه از کلیدهای ثبت استفاده می‌کند و به این ترتیب در هر بار باز شدن یک پرونده دارای آن پسوند، دستور بدافزار Kovter با استفاده از آن دستور در کلیدهای ثبت اجرا می‌شود.

دوک گوین، یکی از کارمندان بخش محافظت از بدافزار شرکت مایکروسافت در این خصوص عنوان کرد: «بدافزار Kovter برای اجرای برنامه‌های خود در یک دستگاه آلوده، نیازمند این است که یک پرونده را با پسوند خاص باز کند و به این ترتیب دستور مخرب باز پوسته اجرا شود. پس از این اتفاق نیز یک دستور با استفاده از ابزار mshta اجرا می‌شود.»

ابزار mshta اگرچه خود آلوده نیست، اما توسط این بدافزار برای اجرای جاوا اسکریپت مخرب موردنیاز برای اجرای بار داده اصلی از یک محل ثبت دیگر مورد استفاده قرار می‌گیرد. گوین در این خصوص یادآور شد که این بدافزار برای اطمینان از اجرای دستور باز پوسته، یک سری پرونده‌های بازیافتی را با پسوندهای پرونده در مکان‌های مختلف قرار می‌دهد. با فرض قرارگیری کد مخرب در کلید ثبت دستور باز پوسته، محتوای این پرونده‌های بازیافتی از اهمیت چندانی برخوردار نیستند.

این بدافزار برای اجرای مراحل پایانی، یک مکانیزم خودکار را اجرا می‌کند که به صورت خودکار این پرونده‌ها را باز می‌کند. این مکانیزم از پرونده میانبر و پرونده دسته‌ای برای این منظور استفاده می‌کند. میانبر .lnk موجود در پرونده بازیافتی در پوشه راه‌اندازی ویندوز نیز در سامانه باقی می‌ماند. بدافزار Kovter به هنگام استفاده از پرونده دسته‌ای اسکریپت باقی‌مانده در پوشه تصادفی، یک کلید اجرای ثبت را طراحی و اجرا می‌کند (پرونده دسته‌ای اقدام به اجرای پرونده بازیافتی می‌کند و این اقدام موجب اجرای دستور مخرب باز پوسته می‌شود.)

گوین در ادامه گفته‌های خود افزود: «این بدافزار به جای اضافه کردن اسکریپت mshta به صورت مستقیم و به عنوان کلید اجرای ثبت مانند نسخه‌های قبلی، در نسخه‌های جدید خود از یک روش باز پوسته برای شروع کار خود استفاده می‌کند. اگرچه این بدافزار به صورت تخصصی در نسخه‌های جدید خود بدون پرونده نیست، اما بیشتر کدهای مخرب موجود در آن هنوز هم در بخش ثبت نگهداری می‌شود. نرم‌افزار ضدویروس یک سامانه برای پاک کردن کامل این بدافزار باید تمامی پرونده‌های باقی‌مانده را به همراه تغییرات رخ‌داده در بخش ثبت حذف کند.»

در دو ماه گذشته بدافزار Kovter تغییراتی را در نسخه‌های خود داشته است. یکی از این تغییرات، انتشار از طریق نشان دادن خود به صورت یک پرونده به‌روزرسانی مرورگر گوگل کروم است. این بدافزار قبل از این خود را به صورت پرونده به‌روزرسانی Adobe Flash و یا مرورگر فایرفاکس نشان می‌داد. تغییر دیگر در این بدافزار، استفاده از یک سری گواهی‌های دیجیتال جدید است که باعث آلودگی‌های بیشتر می‌شود.

بر اساس یافته‌های شرکت مایکروسافت، در هر بار انتشار این بدافزار توسط طراحان که همیشه با گواهی‌های جدید همراه است، آلودگی‌ها و حملات بیشتری مشاهده می‌شود. اطلاعات جمع‌آوری شده نشان می‌دهد که برخی از نسخه‌های جدید این بدافزار در روزهای ۲۱ می، ۱۴ ژوئن و همچنین هفته اول ژوئیه منتشر شده‌اند.

برای جلوگیری از بروز خطر، به کاربران توصیه شده است که برنامه‌های خود را فقط از وبگاه‌های معتبر و اصلی بارگیری و یا به‌روزرسانی کنند. همچنین لازم است که کاربران برنامه‌های ضدویروس را نصب کنند تا از این طریق از بروز مشکلات ناشی از این‌گونه حملات، قبل از هرگونه آسیب جلوگیری شود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.