ربات هرزنامه‌ی Sarvdap، عامل توزیع بدافزار آندرومدا

۳تروجان‌ها روز به روز هوشمندانه‌تر عمل می‌کنند، و ترفندی که تشریح آن خالی از لطف نیست موردی است که توسط محققان تیم تحقیقاتی Unit۴۲ از مؤسسه‌ی پالو آلتو کشف شده است؛ این پژوهش‌گران به تازگی یک ربات هرزنامه۱ را پیدا کرده‌اند که پیش از استفاده از رایانه برای ارسال رایانامه‌های ناخواسته بررسی می‌کند که آیا IP کاربر قربانی در فهرست سیاه هرزنامه موجود است یا خیر.
این روش در آن واحد هوشمندانه و شیطنت‌آمیز است و نشان می‌دهد که چرا مبارزه با هرزنامه‌ها یک کار ۲۴ ساعته و تمام‌وقت است.
بدافزار مورد بحث Sarvdap نام دارد؛ Sarvdap یک اصطلاح عمومی مایکروسافت برای گونه‌های مختلف بدافزاری است که موجب تبدیل رایانه‌های شخصی به ربات‌های هرزنامه می‌شوند.

بخش Sarvdap از بات‌نت آندرومدا
پالو آلتو می‌گوید که دریافته که این نوع از Sarvdap توسط گروه پشت پرده‌ی بات‌نت قدیمی آندرومدا توزیع می‌شود، و این گروه از Sarvdap برای انتشار هرزنامه‌هایی با موضوعات دارو و نیز خود بدافزار آندرومدا استفاده می‌نماید تا این بات‌نت را زنده نگه دارد.
تجزیه و تحلیل این بات‌نت نشان‌دهنده‌ی یک سری ترفندهایی است که در هرزنامه‌های مشابه دیده نشده است.
Sarvdap پس از آلوده کردن میزبان، جایی را برای خود در پوشه‌ی %windir% باز می‌کند، سپس فرآیند svchost.exe (میزبان سرویس ویندوز) خود را شروع می‌نماید، و در نهایت با تلاش برای دسترسی به microsoft.com وجود هرگونه اتصال اینترنتی را بررسی می‌نماید.

Sarvdap آدرس IP کاربر را مقابل چندین RBL بررسی می‌کند
چنانچه کاربر به اینترنت وصل شود، Sarvdap آدرس IP خارجی رایانه‌ی محلی را تعیین می‌کند و پرس‌وجوهای (کوئری) مربوط به سرویس‌های فهرست سیاه هرزنامه‌ی مختلف را که RBL یا Reputation BlackList هم نامیده می‌شوند، تهیه می‌نماید.
RBLها در حقیقت همان فهرست پویای آدرس‌های IP هستند که هرزنامه‌هایی که در دنیا رد و بدل می‌شوند از آن‌ها نشأت می‌گیرند.
سرویس‌های امنیت اینترنتی مختلف RBLهای خاص خود را دارند، و ارائه‌دهندگان سرویس اینترنت و شرکت‌های تولیدکننده‌ی دیوار آتش از یک یا چندین RBL برای مسدودسازی ترافیک مخرب استفاده می‌نمایند.
اگر کوئری‌هایی که به این رابط‌های برنامه‌نویسی کاربردی یا همان APIهای RBL می‌زنیم جواب منفی را برگردانند، این ربات هرزنامه بلافاصله به کار خود خاتمه می‌دهد. اما اگر کوئری‌ها دارای جواب مثبت باشند، Sarvdap به رفتار مخرب خود ادامه می‌دهد، با کارگزار فرمان‌دهی و کنترل تماس برقرار کرده و پرونده‌ی پیکربندی را درخواست می‌نماید.
از آن‌جایی‌که کارگزار C&C در زمان انجام تجزیه و تحلیل‌ها خاموش بوده، محققان پالو آلتو نتوانسته‌اند سایر جزئیات موجود در پرونده‌ی پیکربندی را در کنار محتوای هرزنامه‌ها و آدرس‌های رایانامه‌ی هدف کشف کنند.
توقف ربات هرزنامه‌ی کوچکی همچون Sarvdap، در مقابل تروجان‌های بانکی و روت‌کیت‌ها، چندان موضوع مهمی به نظر نمی‌رسد؛ اما همین تهدید به ظاهر ناچیز است که باعث انتشار مورد دوم می‌شود.

۱. Spambot: یک برنامه‌ی رایانه‌ای خودکار است که با هدف کمک کردن به ارسال هرزنامه به خیل عظیمی از افراد نوشته می‌شود. ربات‌های هرزنامه عموماً تعدادی حساب تقلبی می‌سازند و با استفاده از آن‌ها شروع به ارسال هرزنامه به تعداد زیادی از افراد می‌کنند، هرچند که در بسیاری از موارد، تشخیص این‌که یک رایانامه توسط یک ربات هرزنامه فرستاده شده، کار آسانی است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter