راهکار پاندا سکیوریتی جهت مقابله با بدافزار Rombertik
همانگونه که در هفته گذشته اعلام شد، محققان امنیتی شرکت سیسکو سیستمز از شناسایی بدافزار فوق پیشرفته ای تحت عنوان "Rombertik" خبر دادند که از طریق حملات فیشینگ و فایل آلوده در پیوست هرزنامه ها، به سیستم کاربر منتقل شده و به محض اجرا، عملیات سرقتی و تخریبی خود را آغاز می کند.
این بدافزار خود را درون یک فایل اجرایی محافظ صفحه نمایش یا همان “اسکرین سیور” ، با پسوند .scr مخفی می سازد و زمانی که کاربر آن را اجرا می کند، کدهای مخرب به مرورگر تزریق می شوند و بررسی های مختلفی را برای اطمینان حاصل نمودن از اینکه تحت هیچ آنالیز رفتاری توسط سند باکس ها و سیستم های دیباگینگ قرار نگرفته، انجام می دهد.
تا زمانی که رامبرتیک متوجه سیستم های تحلیل رفتاری قرار نگرفته، بخش سرقت اطلاعاتی بدافزار فعال شده و کدهای مخرب برای سرقت اطلاعات و داده های کاربران اجرا می شوند و در زمانی که متوجه رفتار سند باکس ها شود، بخش تخریبی بدافزار نیز فعال شده و پس از پاکسازی خود، MBR سیستم کاربر را مورد هدف قرار می دهد.
رامبرتیک سعی می کند تا آن را باز نویسی کند؛ در نهایت هم تمامی فایل های شناسایی شده در پوشه خانگی کاربر را به الگوریتم تصادفی RC4 قفل گذاری می کند تا دیگر احیای آنها امکان پذیر نباشد و در آخرین اقدام، سیستم را در حالت "ری بوت ابدی" قرار می دهد.
Master Boot Record یا به اختصار MBR، اولین بخش از درایو سخت افزاری می باشد که کامپیوترها قبل از اجرای سیستم عامل، آن را فراخوانی می کنند. بنابرابن مستر بوت ریکورد از حساسیت بسیار بالایی برخوردار خواهد بود.
بدافزار مخرب "Rombertik" در بانک های اطلاعاتی آنتی ویروس های پاندا با اسامی " Trj/Genetic.gen" ، "Trj/Cl.A" و "Generic Suspicious" شناسایی و متوقف می شود.
بنا به گزارش این شرکت، در صورتی که مشترکین آنتی ویروس های پاندا نرم افزار ضدویروس خود را به آخرین نسخه موجود به روز رسانی کرده باشند، سیستم آنها در امنیت کامل خواهد بود.
هش فایل آنالیز شده در این مطلب به شرح ذیل می باشد:
F504EF6E9A269E354DE802872DC5E209 (Trj/Genetic.gen)
علاوه بر هش فایل فوق، 8 نسخه آلوده دیگر هم شناسایی شدند که البته تمامی آنها توسط موتورهای آنتی ویروس پاندا شناسایی و قرنطینه می شوند.
این بدافزار چگونه عمل می کند…؟
با اجرای دستور \\\\.\\PhysicalDrive0 ، بدافزار تلاش می کند تا به MBR سیستم دسترسی پیدا کند. در صورتی که موفق شود تا کنترل ام بی آر را بدست گیرد، 200 hex بایت کد را در آن پیاده سازی می کند تا در نتیجه یک حلقه بی نهایت تکرار در بوت لودر سیستم ایجاد شود.
در واقع پس از اینکه فایل های موجود در پوشه خانگی کد گذاری شدند، سیستم بصورت خودکار ری بوت شده و قبل از اینکه سیستم عامل باگذاری شود، مجدداً وارد حلقه تکرار می شود. این روند تا زمانی که سیستم عامل مجدد تعویض نگردد، تکرار می شود.
در سیستم های عامل ویندوز XP، جهت دسترسی به ام بی آر و کد گذاری فایل های داخل پوشه خانگی، مجوز دسترسی ادمین مورد نیاز بدافزار می باشد. جالب اینجاست که تمامی کاربران ویندوز ایکس پی که قربانی حملات رامبرتیک شدند، این دسترسی را به خودی خود برای اجرای فایلی تحت عنوان “yfoye.exe” اعمال کرده اند.
رامبرتیک، با بررسی فرآیندهای در حال اجرا در یک مرورگر وب می تواند به اطلاعات محرمانه کاربران دست پیدا کند. هنگامی که مرورگر فایرفاکس (یا هر کدام از مرورگرهای اینترنتی) درحال اجرا باشد، بدافزار کد مخرب را در آن تزریق نموده و توابع API را که دیتا های بدون رمز را مدیریت می کند را به سرقت می برد.
نکته جالب دیگر اینجاست که کارشناسان امنیتی تخمین زدهاند که حدوداً ۹۷٪ از پرونده های اجرایی Rombertik هرگز مورد استفاده بدافزار قرار نگرفته و تنها برای جلب اعتماد و بدل سازی از یک نرم افزار قانونی در پکیج این بدافزار جا گرفته اند.
• چگونه به این بدافزار آلوده نشویم…؟
مهم ترین عامل اجتناب از این بدافزار، خودداری کاربران از باز کردن ایمیل های ناشناخته و یا هرزنامه ها و از آن مهم تر دریافت فایل پیوست شده در اینگونه نامه های مشکوک خواهد بود. بنابراین توصیه می شود که هرگز روی لینک های ناشناخته، ایمیل های مشکوک و غیر آشنا کلیک نشود.
کاربرانی که سیستم هایشان مجهز به آنتی ویروس می باشد، ابتدا ماژول های مهم و حیاتی امنیتی برنامه رو فعال نمایند تا بدافزار راحت تر به دام بی افتد. فراموش نکنید که حتماً به روز رسانی های روزانه و مستمر خود را ادامه دهید. بدافزار رامبرتیک توسط برخی از موتورهای شناسایی بدافزار، قرنطینه می شود.
• چگونه سیستم خود را از این حلقه بی نهایت تکرار خارج نماییم…؟
همانطور که در ابتدای مقاله اشاره شد، پس از آلوده سازی و فعال شدن بخش مخرب بدافزار، سیستم بصورت خودکار ری بوت شده و قبل از اینکه سیستم عامل باگذاری شود، وارد حلقه تکرار می شوید.
در این حالت، پس از ری بوت شدن سیستم، کلید F8 را بفشارید تا صفحه Advanced Boot Option نمایان گردد. حال گزینه Safe Mode with Command Prompt را انتخاب کنید و کلید Enter را بفشارید.
پس از بارگذاری Safe Mode، کلید های پنجره ویندوز و R را با هم بفشارید (استفاده از شورتکات ویندوز) تا صفحه Run اجرا شود. در کادر چشمک زن عبارت cmd را تایپ نموده و کلید Enter را بفشارید تا صفحه Command Prompt اجرا شود.
سپس در آن عبارت bootrec.exe /fixmbr را وارد کرده و کلید Enter را بفشارید. اکنون اختلال بوجود آمده ام بی آر رفع شده و از حلقه تکرار رهایی یافته اید. سیستم را ری بوت کرده و منتظر بارگذاری سیستم عامل خود باشید.
همواره به تمامی مدیران آی تی و کاربران اینترنت پیشنهاد میشود تا از فایل های مهم و ضروری خود یک نسخه پشتیبان تهیه کنند تا در این مواقع با خسارت کمتری روبرو شوند.