مدیر سایت
داود بریهی
محققان امنیتی شرکت مایکروسافت به تازگی هشدارهایی را در مورد یک بدافزار دادهاند. این محققان اعلام کردهاند که یک بدافزار با نام Kovter را مشاهده کردهاند که در هفتههای گذشته پرکار بوده است و در قالب یک پرونده بهروزرسانی مرورگر گوگل کروم، کاربران را مورد حمله قرار میدهد. نکتهای که امروزه هر کارشناسی در فضای مجازی به آن تأکید دارد، این است که نفوذگران همواره بدافزارها و برنامههای مورد استفاده خود را بهروزرسانی میکنند تا حملات خود را به بهترین نحو انجام دهند. طراحان بدافزار Kovter نیز در ماههای گذشته در این خصوص بسیار فعال بودهاند. این افراد در ماه آوریل، برخی قابلیتهای باجافزاری را به این بدافزار بدون پرونده اضافه کردند و چند هفته پیش نیز این بدافزار را به شکل یک پرونده بهروزرسانی مرورگر فایرفاکس در آوردند.
محققان بخش محافظت از بدافزار شرکت مایکروسافت نیز به تازگی کشف کردهاند که طراح اصلی این بدافزار ، بخش روش پایداری این بدافزار را به تازگی بهروزرسانی کرده است. این محققان امنیتی همچنین گزارشهایی را در مورد تغییرات رخداده در پویشهای مربوط به این بدافزار مخابره کردهاند. بنا به گفته آنّها، روش پایدار جدید که برای اولین بار در ماه گذشته مشاهده شد، کار را برای نرمافزارهای ضدویروس در جبران مشکلات به وجود آمده سخت میکند.
بدافزار Kovter که به دلیل توانایی آلودهسازی بدون پرونده خود شناخته میشود، یک پسوند جدید و تصادفی را برای یک پرونده طراحی میکند و سپس آن را در فرآیند نصب، ثبت میکند. این بدافزار سپس یک دستور New shell open verb را برای کنترل این پسوند تعریف میکند. بدافزار نیز به این منظور از یک مجموعه از کلیدهای ثبت استفاده میکند و به این ترتیب در هر بار باز شدن یک پرونده دارای آن پسوند، دستور بدافزار Kovter با استفاده از آن دستور در کلیدهای ثبت اجرا میشود.
دوک گوین، يکی از کارمندان بخش محافظت از بدافزار شرکت مایکروسافت در این خصوص عنوان کرد: «بدافزار Kovter برای اجرای برنامههای خود در یک دستگاه آلوده، نیازمند این است که یک پرونده را با پسوند خاص باز کند و به این ترتیب دستور مخرب باز پوسته اجرا شود. پس از این اتفاق نیز یک دستور با استفاده از ابزار mshta اجرا میشود.»
ابزار mshta اگرچه خود آلوده نیست، اما توسط این بدافزار برای اجرای جاوا اسکریپت مخرب موردنیاز برای اجرای بار داده اصلی از یک محل ثبت دیگر مورد استفاده قرار میگیرد. گوین در این خصوص یادآور شد که این بدافزار برای اطمینان از اجرای دستور باز پوسته، یک سری پروندههای بازیافتی را با پسوندهای پرونده در مکانهای مختلف قرار میدهد. با فرض قرارگیری کد مخرب در کلید ثبت دستور باز پوسته، محتوای این پروندههای بازیافتی از اهمیت چندانی برخوردار نیستند.
این بدافزار برای اجرای مراحل پایانی، یک مکانیزم خودکار را اجرا میکند که به صورت خودکار این پروندهها را باز میکند. این مکانیزم از پرونده میانبر و پرونده دستهای برای این منظور استفاده میکند. میانبر .lnk موجود در پرونده بازیافتی در پوشه راهاندازی ویندوز نیز در سامانه باقی میماند. بدافزار Kovter به هنگام استفاده از پرونده دستهای اسکریپت باقیمانده در پوشه تصادفی، یک کلید اجرای ثبت را طراحی و اجرا میکند (پرونده دستهای اقدام به اجرای پرونده بازیافتی میکند و این اقدام موجب اجرای دستور مخرب باز پوسته میشود.)
گوین در ادامه گفتههای خود افزود: «این بدافزار به جای اضافه کردن اسکریپت mshta به صورت مستقیم و به عنوان کلید اجرای ثبت مانند نسخههای قبلی، در نسخههای جدید خود از یک روش باز پوسته برای شروع کار خود استفاده میکند. اگرچه این بدافزار به صورت تخصصی در نسخههای جدید خود بدون پرونده نیست، اما بیشتر کدهای مخرب موجود در آن هنوز هم در بخش ثبت نگهداری میشود. نرمافزار ضدویروس یک سامانه برای پاک کردن کامل این بدافزار باید تمامی پروندههای باقیمانده را به همراه تغییرات رخداده در بخش ثبت حذف کند.»
در دو ماه گذشته بدافزار Kovter تغییراتی را در نسخههای خود داشته است. یکی از این تغییرات، انتشار از طریق نشان دادن خود به صورت یک پرونده بهروزرسانی مرورگر گوگل کروم است. این بدافزار قبل از این خود را به صورت پرونده بهروزرسانی Adobe Flash و یا مرورگر فایرفاکس نشان میداد. تغییر دیگر در این بدافزار، استفاده از یک سری گواهیهای دیجیتال جدید است که باعث آلودگیهای بیشتر میشود.
بر اساس یافتههای شرکت مایکروسافت، در هر بار انتشار این بدافزار توسط طراحان که همیشه با گواهیهای جدید همراه است، آلودگیها و حملات بیشتری مشاهده میشود. اطلاعات جمعآوری شده نشان میدهد که برخی از نسخههای جدید این بدافزار در روزهای ۲۱ می، ۱۴ ژوئن و همچنین هفته اول ژوئیه منتشر شدهاند.
برای جلوگیری از بروز خطر، به کاربران توصیه شده است که برنامههای خود را فقط از وبگاههای معتبر و اصلی بارگیری و یا بهروزرسانی کنند. همچنین لازم است که کاربران برنامههای ضدویروس را نصب کنند تا از این طریق از بروز مشکلات ناشی از اینگونه حملات، قبل از هرگونه آسیب جلوگیری شود.
باجافزار Locky یکی از خانوادههای باجافزاری رایج است که کاربران بسیاری را در سرتاسر دنیا به دام میاندازد. این باجافزار سازوکار توزیع خود را ارتقاء داده و اکنون از طریق پروندههای جاوا اسکریپت پیوست شده به هرزنامهها توزیع میشود.