بدافزار Uroburos
چيست؟
بدافزاری از نوع Rootkit و با درجه خطر کم (Low) که می تواند کاملا کنترل سیستم آلوده را در دست بگیرد. این بدافزار توجه رسانه ها را به شدت به خود جلب کرده است و شرکت ضدویروس Gdata، روسیه را منبع انتشار این بدافزار دانسته و دولت روسیه را متهم به دست داشتن در انتشار این بدافزار می داند. پیچیدگی این بدافزار، وجود برخی واژه گان در برنامه بدافزار، کلیدهای رمزنگاری و رفتار این بدافزار همگی باعث شده اند تا روسیه منبع اصلی این بدافزار شناخته شود.
نامگذاری ها
اين بدافزار با نام Uroburos در سطح دنیا شناخته شده است که نگارشی از اسم Ouroboros می باشد که در زبان یونانی نوعی مار یا اژدهاست که دم خود را می بلعد. این بدافزار با نام های زير شناسايی می شود.
Dropper-FKG
Trojan-FDSD
انتشار
روش انتشار این بدافزار هنوز به طور دقیق مشخص نمی باشد. با این حال بدافزار قابلیت این را دارد که از طریق یک سیستم آلوده، تمامی سیستم های موجود در شبکه را آلوده نماید و امکان آلوده شدن تمامی سیستم ها چه آنهایی که به اینترنت دسترسی دارند و چه آنهایی که دسترسی ندارند، وجود دارد.
خرابکاری
بدافزار Uroburos نوعی RootKit می باشد که از دو بخش مجزا تشکیل شده است: یک فایل مجازی رمزنگاری شده و یک راه انداز (Driver). در صورت آلوده شدن یک سیستم، این بدافزار می تواند کنترل کامل سیستم را در اختیار گرفته، دستورات دلخواه را بر روی سیستم اجرا نموده، حتی فعالیت های در حال اجرای سیستم را پنهان نماید. این بدافزار از قطعات مجزا و انعطاف پذیر ساخته شده و به همین لحاظ بدافزاری بسیار خطرناک محسوب می شود. در واقع این ساختار به بدافزار این قابلیت را می دهد که بتوان عملکردهای مخرب جدیدی را به آسانی به آن اضافه کرد.
بخش راه انداز (Driver) این Rootkit بسیار پیچیده بوده و به شکلی گسسته طراحی شده است تا شناسایی آن بسیار دشوار شود.
همچنین طراحی این بدافزار به نوعی بوده که قابلیت دزدی اطلاعات و دیده بانی (monitoring) ترافیک شبکه را دارا می باشد.
به گفته ی شرکت Gdata، بدافزار Uroburos پیشرفته ترین RootKit ای است که تا به حال مورد بررسی و تحلیل قرار داده است و طراحی بخش راه انداز آن به سال 2011 برمی گردد. این بدافزار قابلیت اجرا بر روی هر دو سیستم های عامل 32 و 64 بیتی را دارا می باشد.
بدافزار Uroburos پس از آلوده نمودن یک سیستم با اجرای دستوراتی، سیستم را مجبور می کند دیگر سیستم های شبکه (چه آنهایی که دسترسی مستقیم به اینترنت دارند و چه آنهایی که ندارند) را هم آلوده سازد. سپس بدافزار تمامی اطلاعاتی را که می خواهد از سیستم قربانی جمع آوری می کند و پس از آن با جستجوی سیستم های شبکه، سیستمی را می یابد که به اینترنت دسترسی داشته باشد، سپس تمامی اطلاعات سرقت شده را از طریق آن سیستم به مرکز فرماندهی خود ارسال می نماید.
پيشگيری
استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگیری در مقابل بدافزارهای مختلف می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوی درباره فايل های مشكوك با عناوين جذاب، بازدید از وب سایت های آلوده و هک شده، و باز کردن هرزنامه ها و ضمیمه های نامه ی الکترونیکی (Email) مشکوک به شدت خودداری نمایند.
