انتشار شده در تاریخ 1392/07/05 - 19:42

بدافزار رایانه‌ای جدید با قابلیت کنترل هارد‌دیسک

به تازگی بدافزار رایانه‌ای شناسایی شده است که می‌تواند با به‌دست گرفتن کنترل هارد‌دیسک رایانه، از شناسایی شدن خود جلوگیری کند.

موسسه خبری سایبربان:به تازگی بدافزار رایانه‌ای شناسایی شده است که می‌تواند با به‌دست گرفتن کنترل هارد‌دیسک رایانه، از شناسایی شدن خود جلوگیری کند.این بدافزار پس از راه‌یابی به رایانه‌ی هدف بلافاصله یک نقطه‌ی بازیابی ایجاد کرده و پس از آن اجازه‌ی هر گونه تغییر در سامانه اعم از ویرایش پرونده‌، دریافت داده از اینترنت و حتی کپی پرونده‌ها را از کاربر سلب می‌کند. به گفته‌ی محققین شرکت Bkav این بدافزار از تغییرات جدید جلوگیری کرده و مانع از ذخیره‌سازی آن‌ها می‌شود. در نتیجه‌ی فعالیت‌های مخرب این بدافزار پرونده‌های جدیدی که ایجاد می‌شوند هم به صورت خودکار حذف خواهند گردید.

این بدافزار شمایل هارد‌درایو را تغییر می‌دهد.

این بدافزار جدید همچنین ماژول‌های اجرایی خاصی را هم در سامانه‌ی قربانی پیاده‌سازی می‌نماید. برای مثال ماژول Winnite با دو کارگزار فرمان‌دهی و کنترل ارتباط برقرار می‌کند؛ یکی از این کارگزارها در چین و دیگری در آمریکا قرار دارد.

ماژول دیگری با نام DiskFlt هم مامور به‌دست گرفتن کنترل هارددیسک است. بدافزار مذکور برای انجام این کار ابزاری را ایجاد می‌کند که خواندن و نوشتن اطلاعات در هاردیسک را کنترل می‌کند.

به گفته‌ی Bkav «ماژول DiskFlt همچنین یک ناحیه‌‌ی کش داده بر روی هارد دیسک ایجاد می‌کند. زمانی که کاربر مشغول ایجاد اطلاعات جدید بر روی هارددیسک است، DiskFlt نسخه‌ای از آن اطلاعات را به صورت موقت در ناحیه‌ی کش کپی می‌کند. اما این مسأله زمانی مشکل‌ساز می‌شود که رایانه به این ویروس جدید آلوده شود. این ویروس فرآیند خواندن و نوشتن اطلاعات در هارددیسک را به نحوی تغییر می‌دهد که هر بار کاربر به ناحیه‌ی کش هدایت شود و دیگر به فضای خالی هارددیسک دسترسی نداشته باشد.»

PassThru ماژول دیگری است که دسترسی به برخی وب‌گاه‌ها را مسدود کرده و یا کاربر را بدان‌ها هدایت می‌کند؛ Black.dll هم نام پرونده‌ای است که به بدافزار کمک می‌کند تا خود را انتشار دهد.

به گفته‌ی محققین شرکت Bkav این ویروس را می‌توان یک روت‌کیت هم به حساب آورد و تنها تفاوت آن با روت‌کیت‌ها شیوه‌ی بسیار نادر آن برای محافظت از خود است. روت‌کیت‌ها سعی می‌کنند تا از طریق محافظت از ماژول‌های خود ناشناخته بمانند، حال آن که این بدافزار جدید از ایجاد هر گونه تغییر در هارددیسک جلوگیری کرده و بدین ترتیب از شناسایی شدن در امان می‌ماند.

ترفندی که این بدافزار برای محافظت از خود به کار می‌بندد کار ضدبدافزارها را بسیار دشوار می‌سازد و عملاً آن‌ها را بی‌اثر می‌نماید. این ویروس همچنین می‌تواند پس از هربار راه‌اندازی سامانه، به‌صورت خودکار فعال گردد.