استفاده از روت كیت Necurs برای حفاظت از بدافزار Gameover
ایتنا-نوع جدیدی از بدافزار Gameover كه اعتبارنامه های بانكی را به سرقت می برد دارای روت كیتی در سطح هسته می باشد كه باعث می شود تا سخت تر از روی سیستم حذف گردد.
با توجه به یافته های محققان امنیتی از شركت Sophos، نوع جدیدی از بدافزار Gameover كه اعتبارنامه های بانكی را به سرقت می برد دارای روت كیتی در سطح هسته می باشد كه باعث می شود سخت تر از روی سیستم حذف گردد.
به گزارش ایتنا از مرکز ماهر، Gameover یك تروجان كامپیوتری مبتنی بر بدافزار بانكداری زئوس می باشد كه كد منبع آن سال ۲۰۱۱ بر روی اینترنت منتشر شد. فعالیت این بدافزار با دیگر برنامه های تروجانی مبتنی بر زئوس متفاوت است زیرا این بدافزار برای كنترل كردن و فرمان دادن به جای سرور از فناوری نظیر به نظیر استفاده می كند در نتیجه غیرفعال كردن آن دشوارتر می باشد.
اوایل ماه فوریه محققان شركت امنیتی Malcovery گزارش دادند كه گونه جدیدی از بدافزار Gameover در قالب فایل .enc در حال توزیع می باشد. محققان شركت امنیتی Sophos روز پنج شنبه در پستی اعلام كردند كه نویسندگان این بدافزار به منظور حفاظت از آن از روت كیت هسته با عنوان Necurs استفاده كردند.
این روت كیت باعث می شود تا فرآیند بدافزار به راحتی خاتمه نیابد و فایل های آن به سختی حذف گردد.
آخرین نوع این بدافزار از طریق ایمیل های هرزنامه ای كه حاوی فایل پیوست .zip بودند توزیع شد. این پیوست شامل برنامه تروجان Gameoverنبود بلكه حاوی یك برنامه دانلودكننده مخرب با عنوان Upatre بود كه در صورت اجرا می توانست بدافزار بانكداری را دانلود و نصب نماید.
در صورت نصب موفق بدافزار، نوع جدید Gameover سعی می كند تا روت كیت Necurs را بر روی ماشین قربانی نصب كند. این بدافزار به منظور نصب درایوهای Necurs با حق دسترسی ادمین، از آسیب پذیری گرفتن بالاترین حق دسترسی در ویندوز سوء استفاده می كند. این آسیب پذیری در سال ۲۰۱۰ توسط شركت مایكروسافت اصلاح شده است.
در صورتی كه این آسیب پذیری بر روی سیستم قربانی اصلاح شده باشد، این بدافزار از كنترل دسترسی كاربر (UAC) استفاده می كند تا از كاربر برای دسترسی ادمین سوال نماید. اگر كاربر در هر صورتی به این درخواست پاسخ مثبت دهد، این درایورها پس از نصب از مولفه های Gameover حفاظت می كنند.
بنا به گفته محققان، روت كیت باعث می شود تا این بدافزار از روی سیستم آلوده شده به راحتی حذف نشود و مدت زمان طولانی تری بر روی سیستم باقی بماند، در نتیجه داده های بیشتری از سیستم قربانی به سرقت می رود.
با توجه به گزارشی كه اخیرا توسط Dell SecureWorks منتشر شده است، در سال ۲۰۱۳ انواع تروجان های زئوس حدود نیمی از بدافزارهای بانكی را تشكیل می دهد.
علاوه بر سرقت اعتبارنامه های بانكداری آنلاین و اطلاعات مالی، مجرمان سایبری از این بدافزار به طور فزاینده ای برای جمع آوری انواع دیگر داده ها استفاده می كنند.