بدافزار KBOT

بدافزار جدیدی با عنوان KBOT که قابلیت آن در تزریق کد مخرب به فایل‌های اجرایی در سیستم عامل Windows موجب شده که شرکت کسپرسکی آن را نخستین ویروس زنده سال‌های اخیر توصیف کند.

KBOT، بدافزاریست با اولویت جعل صفحات وب سایت و بدین ‌منظور ویروس توابعی از مرورگرهایی همچون Chrome و Firefox را در کنار توابع سیستمی مربوط به مدیریت ترافیک مورد دست‌درازی قرار می‌دهد.، این بدافزار با برقراری ارتباط با سرور فرمان خود، فایل hosts.ini که در آن نام دامنه های مورد نظر مهاجمان درج شده است را بروزرسانی می کند.  KBOT از طریق سیستم های قابل دسترس در سطح اینترنت، شبکه های محلی و Removable deviceها منتشر می شود.

KBOT با استفاده از مجموعه‌ای از ابزارها و تکنیک‌های مبهم‌سازی (Obfuscation) از قبیل رمزگذاری رشته‌ها مبتنی بر RD4، پویش فایل‌های DLL مرتبط با محصولات ضدویروس و از کاراندازی آن‌ها، تزریق کد مخرب به پروسه‌های معتبر اجراشده، خود را از دید کاربر و محصولات امنیتی مخفی می‌کند.
ویروس به دست‌درازی به فایل‌های اجرایی بسنده نکرده و در ادامه با هدف سرقت داده‌های شخصی قربانی نظیر اصالت‌سنجی‌های استفاده‌شده در جریان ورود به سرویس‌های مالی و بانکی اقدام به تزریق وب می‌کند.
KBOT   به سبب توانایی آن در توزیع سریع بر روی سیستم‌ها و شبکه محلی و آلوده‌سازی فایل‌های اجرایی بدون امکان بازگردانی آنها تهدیدی بسیار جدی تلقی می‌شود. این ویروس به‌طور محسوسی سیستم را کند کرده و گردانندگان خود را قادر به دسترسی یافتن به سیستم آلوده از طریق Remote Desktop، استخراج داده‌های شخصی قربانی و سرقت داده‌های بانکی او – با استفاده از تزریق‌های وب – می‌کند.

خوشبختانه KBOT
توسط ESET با نام Win32/Kbot
و در کسپرسکی با نام های Virus.Win32.Kpot.a, Virus.Win64.Kpot.a, Virus.Win32.Kpot.b, Virus.Win64.Kpot.b وTrojan-PSW.Win32.Coins.nav
 شناسایی می گردد.

منبع :

https://www.zdnet.com/

https://securelist.com