ویژگی‌های جدید بدافزار H۱N۱

۱۸۶۶گزارش‌های کارشناسان امنیتی شرکت‌های سیسکو و Proofpoint و همچنین چندین محقق مستقل امنیتی نشان می‌دهد که بدافزار H۱N۱ در حال تغییر به یک به سارق اطلاعات است.

این بدافزار قدیمی که پیش از این به «بارگیری‌کننده بدافزار» معروف بود، نوعی از ویروس است که می‌تواند جای پای خود را در رایانه قربانی محکم کند. این ویروس توانایی گذر از نرم‌افزارهای ضدویروس را دارد و علاوه بر این، توانایی اجرا در هر بار راه‌اندازی سامانه و همچنین بارگیری و نصب بدافزارهای قوی‌تر را دارد.

گزارش شرکت سیسکو طی این هفته و همچنین گزارش شرکت Proofpoint در ماه می نشان می‌دهد که نسخه‌های جدید H۱N۱ ویژگی‌های بیشتری دارند و می‌توان از این حیث ادعا کرد این بدافزار در دسته بدافزارهای سارق اطلاعات جای می‌گیرد.

کارشناسان در این خصوص معتقدند که نمونه‌های جدید بدافزار H۱N۱ دارای توانایی جدید و قوی برای گذر از بخش کنترل دسترسی کاربر است که از طریق یک روش جدید سرقت کتابخانه لینک پویا و همچنین روش‌های مبهم‌سازی منحصر به فرد کد مهیا شده است. این روش‌ها فرآیند مهندسی معکوس را دشوارتر می‌کنند.

یکی دیگر از ویژگی‌های نسخه‌های جدید این بدافزار، ویژگی خود انتشاری آن است که توانایی ورود به دیگر رایانه‌های موجود در همان شبکه و یا درایوهای USB متصل به رایانه را به این بدافزار می‌دهد.

نکته مهم در خصوص ویژگی‌های جدید بدافزار H۱N۱ این است که این بدافزار قادر است اطلاعات را از سامانه‌های آلوده جمع‌آوری کرده و سپس این داده‌ها را که با استفاده از یک الگوریتم RC۴ رمزنگاری شده‌اند به یک کارگزار دستور و کنترل مرکزی ‌ارسال کند.

بدافزار H۱N۱ همچنین قادر است اطلاعات را از بخش‌های مختلفی در سامانه مانند اطلاعات ورود به نمایه فایرفاکس، اطلاعات Intelliform اینترنت اکسپلورر و همچنین اطلاعات ورود به رایانامه از طریق Microsoft Outlook جمع‌آوری کرده و آن‌ها را به سرقت ببرد. نکته‌ای شایان‌ذکر در این خصوص این است که اطلاعات سرقت شده توسط این بدافزار، به اندازه اطلاعات سرقت شده توسط دیگر بدافزارهای سرقت اطلاعات نیست، اما باید به یادداشت که این ویژگی به احتمال زیاد در نسخه‌های بعدی قوی‌تر خواهد شد.

محققان علاوه بر این یافته‌ها،‌ دریافتند که این بدافزار همچنین اقدام به حذف رونوشت‌های سایه‌ای۱ می‌کند و علاوه بر این، گزینه‌های بازیابی سامانه را نیز غیرفعال می‌کند. جاش رینالدز ، از کارمندان شرکت سیسکو در این خصوص یادآور شد: «این فرمان‌ها به طور عمده توسط باج‌افزارها مورد استفاده قرار می‌گیرند، ما هنوز شواهدی را مشاهده نکرده‌ایم که H۱N۱ این‌گونه بدافزارها را بارگیری کرده باشد.»

هرزنامه‌ای در حال توزیع سیل‌آسای H۱N۱

پیش از این بدافزار H۱N۱ در پویش‌هایی مشاهده می‌شد که تروجان بانکی Vawtrack و یا Pony را منتشر می‌کردند، اما پویش‌های جدید تنها اقدام به توزیع و پخش بدافزار H۱N۱ می‌کنند. شایان‌ذکر است عملکرد قرار دادن بدافزار هنوز هم در H۱N۱ وجود دارد و ممکن است بار دیگر توسط نفوذگران مورد استفاده قرار گیرند. محققان شرکت سیسکو در این خصوص خبر از شناسایی یک مجموعه از هرزنامه‌ها می‌دهند که نسخه‌های جدید این بدافزار را پخش می‌کنند.

مجرمان فضای مجازی برای این منظور، پرونده‌های مخرب DOC را درون رایانامه‌ها قرار می‌دهند. پرونده مذکور از همان روش «فعال‌سازی ویرایش» استفاده می‌کند تا اسکریپت VBA موجود را اجرا کند. این اسکریپت H۱N۱ را بارگیری و نصب می‌کند. تصویر زیر، نمونه‌ای از پرونده‌های مخرب DOC مورد استفاده در این فرآیند را نشان می‌دهد.

پویش فعال پخش این بدافزار در حال حاضر سازمان‌های مالی، تولید انرژی، ارتباطات و بخش‌های نظامی و دولتی را هدف قرار می‌دهد. گفتنی است که این پویش برای این منظور از عناوین مختلف در رایانامه‌ها استفاده می‌کند تا کارمندان را فریب دهد.

۲_۶۱

محققان سیسکو در بخش دیگری از تحقیقات خود، با استفاده از اطلاعات موجود در بخش OpenDNS، کشف کردند که یک گروه جاسوسی پخش‌کننده این بدافزار از نشانی [email protected] استفاده می‌کند، تاکنون اقدام به ثبت ۱۷۷ دامنه کرده است. این دامنه‌ها به منظور ارسال مجموعه‌های هرزنامه‌ای دارای بدافزار H۱N۱ مورد استفاده قرار می‌گیرد.

محققان همچنین با بررسی اطلاعات موجود در سایر پویش‌ها، توانستند این دامنه‌ها و گروه مربوط به آن را به چندین عملیات بدافزاری دیگر مرتبط کنند که به توزیع تروجان درب پشتی Bayrob، تروجان بانکی Rovnix، نوعی از تروجان بانکی Zeus، تروجان Sality، تروجان Virut و چندین نسخه از باج‌افزارها می‌پرداختند.

طبق بررسی محققان، تروجان درب پشتی Bayrob پس از ۹ سال، به‌روزرسانی شده است. گفتنی است که این اقدام در ماه می انجام شده است یعنی دقیقاً همان زمانی که شرکت Proofpoint خبر از شناسایی نسخه‌های جدید بدافزار H۱N۱ داد.

امت کوئن، از کارمندان شرکت سیسکو در این خصوص معتقد است: «بدافزار H۱N۱ یک نمونه از بدافزارهایی است که در گذر زمان، تکمیل و به‌روزرسانی می‌شوند و به دلیل انواع بدافزاری که می‌تواند با خود همراه داشته باشد همواره خطری برای سازمان‌ها محسوب می‌شود.

میزان مبهم‌سازی در پرونده باینری، نشان‌دهنده این است که نویسندگان این بدافزارها چقدر آماده هستند تا از کد اصلی خود محافظت کنند. انواع مختلفی از بدافزارها هستند که این میزان پیچیدگی را دارند و این چالشی بزرگ برای تحلیل‌گران است.»

۱. Shadow copies

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.