بدافزار جدیدی با عنوان KBOT که قابلیت آن در تزریق کد مخرب به فایلهای اجرایی در سیستم عامل Windows موجب شده که شرکت کسپرسکی آن را نخستین ویروس زنده سالهای اخیر توصیف کند.
KBOT، بدافزاریست با اولویت جعل صفحات وب سایت و بدین منظور ویروس توابعی از مرورگرهایی همچون Chrome و Firefox را در کنار توابع سیستمی مربوط به مدیریت ترافیک مورد دستدرازی قرار میدهد.، این بدافزار با برقراری ارتباط با سرور فرمان خود، فایل hosts.ini که در آن نام دامنه های مورد نظر مهاجمان درج شده است را بروزرسانی می کند. KBOT از طریق سیستم های قابل دسترس در سطح اینترنت، شبکه های محلی و Removable deviceها منتشر می شود.
KBOT با استفاده از مجموعهای از ابزارها و تکنیکهای مبهمسازی (Obfuscation) از قبیل رمزگذاری رشتهها مبتنی بر RD4، پویش فایلهای DLL مرتبط با محصولات ضدویروس و از کاراندازی آنها، تزریق کد مخرب به پروسههای معتبر اجراشده، خود را از دید کاربر و محصولات امنیتی مخفی میکند.
ویروس به دستدرازی به فایلهای اجرایی بسنده نکرده و در ادامه با هدف سرقت دادههای شخصی قربانی نظیر اصالتسنجیهای استفادهشده در جریان ورود به سرویسهای مالی و بانکی اقدام به تزریق وب میکند.
KBOT به سبب توانایی آن در توزیع سریع بر روی سیستمها و شبکه محلی و آلودهسازی فایلهای اجرایی بدون امکان بازگردانی آنها تهدیدی بسیار جدی تلقی میشود. این ویروس بهطور محسوسی سیستم را کند کرده و گردانندگان خود را قادر به دسترسی یافتن به سیستم آلوده از طریق Remote Desktop، استخراج دادههای شخصی قربانی و سرقت دادههای بانکی او – با استفاده از تزریقهای وب – میکند.
خوشبختانه KBOT
توسط ESET با نام Win32/Kbot
و در کسپرسکی با نام های Virus.Win32.Kpot.a, Virus.Win64.Kpot.a, Virus.Win32.Kpot.b, Virus.Win64.Kpot.b وTrojan-PSW.Win32.Coins.nav
شناسایی می گردد.
منبع :
