بدافزار جدیدی که با روش مشابه Stuxnet به کاربران کشور تبت حمله می کند

به گزارش روابط عمومی شرکت مهندسی شبکه گستر به نقل از IDG News Service، محققان شرکت ضد ویروس ESET خبر از کشف یک بد افزار جاسوسی سایبری داده اند که کاربران کشور تبت را هدف حمله قرار می دهد. این جاسوس افزار از تکنیک های بخصوصی برای جلوگیری از کشف توسط ضد ویروس و باقی ماندن در سیستم های مبتلا استفده می کند. این بد افزار که Win32/Syndicasec با دور زدن (UAC- User Account Control) در سیستم عامل Windows، فرمان هایی را بدون نیاز به اجازه و تایید کاربر اجرا می کند.

یکی از مدیران ESET در خبری که اخیرا در وبلاگ این شرکت منتشر شده گفت: ” این کشف بر مستندات منتشر شده در سال 2009 در خصوص نقص طراحی در UAC سیستم عامل های Windows صحه گذار است. در حقیقت بد افزار Win32/Syndicasec بدون هیچ تغییری در کدهای های مستندات سال 2009، از این کدها استفاده کرده است.”

این روش برای اجرای جزء مخرب دومی که بخشی از یک برنامه Javascript را در Windows Management Instrumentation ثبت می کند، استفاده می شود. WMI یکی از سرویس های پیش فرض Windows است که برنامه های نوشته شده توسط system administrators را اجرا می کند.

براساس این خبر سوء استفاده از WMI توسط بد افزارها پدیده جدیدی نیست اما از اتفاق های نادر است. این روش از ویژگی خاصی (به سود حمله کننده) برخوردار است که کدهای مخرب را به عنوان فایل های معمولی ذخیره می کند. به این ترتیب ابزارهای معمول شناسایی همچون Process Monitor در تشخیص فعالیت های مخرب موفق نمی شوند.

شایان ذکر است جاسوس افزار Stuxnet که پیشتر فعالیت های غنی سازی اورانیوم ایران در نطنز را مورد حمله قرار داده بود نیز از این روش استفاده کرده است.