کمیته رکن چهارم – کارشناسان سیسکو موفق به کشف عملکرد جاسوسافزار Rombertik شدند.
به گزارش کمیته رکن چهارم،روز دوشنبه هفته گذشته بن بیکر و الکس چو، از گروه سیستمهای سیسکو، خبر از بدافزار جاسوسی جدید Rombertik دادند که دارای ساختار و سیستمی کاملاً پیچیده با چندین لایه مبهم و عملکرد ضد تجزیه و تحلیل است.
جاسوس افزار Rombertik برای جمعآوری داده از سیستمهای آنلاین قربانیان طراحی شده است و تمرکز بر روی موضوعی خاص مانند بانکداری اینترنتی و رسانههای اجتماعی ندارد بلکه تمامی سیستمهای آنلاین را تحت تأثیر قرار میدهد. این بدافزار پس از آنکه از طریق کمپینهای سرقت هویت و یا پیوستهای مخرب ایمیل بر روی سیستمی دانلود شد، مجموعهای از بررسیهای ضدتجزیه و تحلیل را اجرا میکند، سپس خودش را رمزگشایی کرده و بر روی رایانه قربانی نصب میشود. در ادامه دومین نسخه از خودش را راهاندازی کرده و با عملکرد جاسوسی بازنویسی میکند.
این جاسوس افزار بدافزاری غیرعادی است؛ زیرا بهگونهای طراحی شده است که نمیتوان آن را تشخیص داد و تجزیه و تحلیل کرد. با توجه به یافتههای سیسکو، پیش از آنکه این بدافزار شروع به جاسوسی بر روی سیستم قربانی کند، بررسی نهایی را اجرا میکند تا تشخیص دهد که آیا در حافظه تجزیه و تحلیل میشود یا خیر. اگر این بررسی با شکست مواجه شود، رکورد مستر بوت (MBR) رایانه هدف را تخریب میکند.
محققان موفق شدند تا این بدافزار را مهندسی معکوس کنند و دریافتند که Rombertik از “garbage code” برای پر کردن سطوح کدی استفاده میکند که تجزیه و تحلیل میشود. این گروه از نمونه کوچکی از این بدافزار تصویربرداری کردند و دریافتند که حجم این نمونه تنها ۲۸ کیلو بایت است در حالی که حجم نمونه بستهبندی شده آن ۱۲۶۴ کیلوبایت است به علاوه تعداد زیادی تصاویر و توابعی که هرگز استفاده نمیشوند.
همچنین این جاسوس افزار بررسی میکند که آیا مولفه yfoye.exe در حال اجراست یا خیر. در صورتیکه جواب بررسی مثبت باشد این بدافزار سعی میکند تا MBR را بازنویسی کند. اگر موفق نشد برنامه B را اجرا میکند که شامل تخریب تمامی فایلها در فولدر home کاربر است.
مرجع : مرکز ماهر
