چاپ        ارسال به دوست

هدف قرار دادن سیستم های لینوکسی با بدافزار استخراج ارز مجازی

یک بدافزار استخراج ارز مجازی به نام KORKERDS کشف شده است که در rootkit قرار دارد و سیستم هایی که دارای سیستم عامل لینوکس هستند را هدف قرار می دهد تا از این طریق ارز مجازی استخراج کند.

rootkit مجموعه ای از ابزارهاست که کنترل یک سیستم کامپیوتری را بدست می گیرد و به مهاجم اجازه دسترسی به قسمت های root کامپیوتر را می دهد و این کار به صورتی انجام می شود که کاربر هرگز متوجه نصب rootkit بر روی سیستم خود نمی شود. همچنین rootkit ها می توانند خود را از نرم افزارهای محافظتی پنهان نگه دارند.

محققان معتقدند که این بدافزار از طریق plugin ها توزیع می شود. هنگامی که این plugin ها نصب شوند و دارای دسترسی admin باشند در نتیجه این بدافزار که از طریق این plugin نصب شده است نیز دارای دسترسی admin است.

بدافزار KORKERDS قابلیت به روز رسانی و ارتقای خود را دارد. این بد افزار یک اسکریپت shell را دانلود می کند و آن را در قسمت bin/httpdns / ذخیره می کند و این فایل را هر یک ساعت یکبار اجرا می کند. هنگامی که این اسکریپت اجرا می شود بررسی می کند که آیا به روز رسانی برای این بدافزار وجود دارد یا خیر. اگر به روز رسانی وجود نداشت شروع به دانلود استخراج کننده ارز مجازی می کند که یک فایل اجرایی ELF است.

اگر فایل به روز رسانی بدافزار وجود داشت آن را به روز می کند. نسخه به روز شده بدافزار KORKERDS در rootkit قرار می گیرد. ابتدا یک تابع بررسی می کند که آیا rootkit در سیستم آلوده وجود دارد یا خیر. اگر وجود نداشت آن را دانلود و در سیستم هدف نصب می کند.

اگر این بدافزار در سیستمی بدون استفاده از rootkit نصب شود مصرف cpu سیستم ۱۰۰ درصد می شود و admin سیستم می تواند به راحتی متوجه نصب بدافزار شود.

اما اگر بدافزار از طریق rootkit نصب شود حتی وقتی مصرف cpu سیستم ۱۰۰ درصد شود تشخیص آن توسط admin بسیار سخت است.

حتی اگر آنتی ویروس، rootkit را شناسایی کند، به علت اینکه rootkit کنترل فایل های اصلی را به دست دارد سعی می کند با پاک کردن فایل های مهم آنتی ویروس، آن را غیر فعال کند. بنابراین باید از یک آنتی ویروس با قابلیت self protection استفاده کنید که بتواند در این مواقع از خود دفاع کند و به این راحتی غیر فعال نشود.

منبع: http://gucert.ir/news-korkerds-malware


 دسته‌ها:  اخبار امنیتی 


٢٠:٠٠ - شنبه ١٩ آبان ١٣٩٧    /    شماره : ١٨٨٨٠    /    تعداد نمایش : ٦٤



خروج