به گزارش First Post ، محققان موفق به کشف بدافزار جدیدی شدند که اقدام به تخریب کامپیوترها در صورت ابتلای آنها خواهد کرد.
نرم افزار جاسوسی Rombertik که به عنوان Win32/Spy.Agent.OLJ از سوی ESET شناخته شده، دارای چندین لایه و عملکرد ضد تجزیه و تحلیل است.
محققان سیسکو به این نتیجه رسیدند که زمانی که این بدافزار توسط فایل پیوست E-mail و یا اقدامات فیشینگ به سیستم های کامپیوتری وارد شود، ابتدا کنترل خواهد کرد که آیا سیستم از طریق sand box در حال اجرا است یا خیر. اگر پاسخ مثبت باشد این بدافزار مرحله ی رمزگذاری را آغاز کرده و به این ترتیب به کامپیوتر قربانی وارد می شود. وقتی این مرحله با موفقیت به اتمام رسید، بدافزار نسخه دیگری از خود را با قابلیت جاسوسی به اجرا در خواهد آورد.
اما قبل از آغاز فعالیت های جاسوسی، Rombertik نسبت به تجزیه و تحلیل توسط حافظه ی سیستم اطمینان حاصل می کند. اگر این بدافزار شناسایی شود،در اقدامی غیر عادی به از بین بردن اسناد کامپیوتری مبادرت ورزیده و دستگاه را بدون استفاده ترک میکند.اگر این مرحله به شکست بیانجامد ، این بدافزار تمامی فایل های کاربر را هدف رمزگذاری به کمک کدهای تصادفی RC4 قرار می دهد.
همه ی این موارد موجب پیچیده شدن فرایند تجزیه و تحلیل این بدافزار خواهد شد، اما موضوع فقط این نیست، زیرا این بدافزار ترفندها و حیله های بسیاری در آستین دارد.
این بسته حاوی تعداد زیادی کد ساختگی، مشتمل بر 75 تصویر و 8000 قابلیت می باشد، که وظیفه ای جز مخفی ساختن قابلیت های این بدافزار از محققان Sandbox ندارد اگر در Sand box اجرا شود داده ها را به صورت تصادفی بیش از 960 میلیون بار در حافظه می نویسد تا بیش از 100 گیگا بایت گزارش دهد.
اما اگر شناسایی نشود، Rombertik قبل از ارسال یافته های خود به سرور مهاجم، به جاسوسی فعالیت های مرورگر(Browser) کاربر پرداخته و اطلاعات اعتباری و شخصی کاربر را می خواند.بر خلاف برخی مرورگرهای بدافزاری مخرب، Rombertik داده ها را یکسره هدف قرار داده و تنها اطلاعات بانکی قربانیان را مدنظر ندارد.
بنا به توصیه ی محققان ESET بهترین راه مقابله با این بدافزار، پایبندی به اصول امنیتی ، به روز رسانی نرم افزارهای امنیتی، اجتناب از باز کردن فایل های پیوست فرستندگان ناشناس و به کارگیری سیاستهای امنیتی مناسب کسب و کارها می باشد.
منبع : www.weilivesecurity.com
