کشف عملکرد بدافزار Rombertik

کمیته ر۱کن چهارم – بن بیکر و الکس چو از گروه سیستم های سیسکو روز دوشنبه در وبلاگی اظهار داشتند که بدافزار جاسوس افزار جدید Rombertik دارای ساختار و سیستمی کاملا پیچیده با چندین لایه مبهم و عملکرد ضد تجزیه و تحلیل است.

به گزارش کمیته رکن چهارم،جاسوس افزار Rombertik برای جمع آوری داده از سیستم های آنلاین قربانیان طراحی شده است و تمرکز بر روی موضوعی خاص مانند بانکداری اینترنتی و رسانه های اجتماعی ندارد بلکه کلیه سیستم های آنلاین را تحت تاثیر قرار می دهد. پس از آنکه این بدافزار از طریق کمپین های سرقت هویت و یا پیوست های مخرب ایمیل بر روی سیستمی دانلود شد، مجموعه ای از بررسی های ضد تجزیه و تحلیل را اجرا می کند. سپس خودش را رمزگشایی کرده و بر روی رایانه قربانی نصب می کند. در ادامه دومین نسخه از خودش را راه اندازی کرده و با عملکرد جاسوسی بازنویسی می کند.
این جاسوس افزار بدافزاری غیرعادی است زیرا به گونه ای طراحی شده است که نمی توان آن را تشخیص داد و تجزیه و تحلیل کرد. با توجه به یافته های سیسکو، پیش از آنکه این بدافزار شروع به جاسوسی بر روی سیستم قربانی کند، بررسی نهایی را اجرا می کند تا تشخیص دهد که آیا در حافظه تجزیه و تحلیل می شود یا خیر. اگر این بررسی با شکست مواجه شود، رکورد مستر بوت (MBR) رایانه هدف را تخریب می کند.
محققان موفق شدند تا این بدافزار ار مهندسی معکوس کنند و دریافتند که Rombertik از “garbage code” برای پر کردن سطوح کدی که تجزیه و تحلیل می شود استفاده می کند. این گروه از نمونه کوچکی از این بدافزار تصویر برداری کردند و دریافتند که حجم این نمونه تنها ۲۸ کیلو بایت است در حالی که حجم نمونه بسته بندی شده آن ۱۲۶۴ کیلو بایت است به علاوه تعداد زیادی تصاویر و توابعی که هرگز استفاده نمی شوند.
این جاسوس افزار هم چنین بررسی می کند که آیا مولفه yfoye.exe در حال اجراست یا خیر. در صورتیکه جواب بررسی مثبت باشد این بدافزار سعی می کند تا MBR را بازنویسی کند. اگر موفق نشد برنامه B را اجرا می کند که شامل تخریب تمامی فایل ها در فولدر home کاربر است.
منبع:مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Green Captcha Characters Below.