♟نکات و گوشزدهای امنیتی♟_ امتیاز ویژه

اوایل سال جاری کایل ویلهویت1، یکی از پژوشگران ترندمیکرو، از افزایش استفاده از AutoIT2 در چندین ابزار نفوذ و بدافزار خبر داد. به گفته ی وی به دلیل زبان ساده و آسان این ابزار، انتظار می رود عوامل تهدید این زبان اسکریپت نویسی را بیشتر در طرح های خود به کار ببندند. اکنون گفته ی وی به حقیقت پیوسته است.
ترند میکرو خبر داد که اخیراً با گونه ای از بدافزار زئوس مواجه شده که با پرونده های بیهوده و یک پرونده ی مخرب AutoIT همراه است. این بدافزار از طریق هرزنامه منتشر می شود و با عنوان TSPY_ZBOT.SMIG شناسایی شده است؛ همانند سایر انواع زئوس، این گونه نیز پرونده ی پیکربندی را در سامانه ی فرد رها می سازد که حاوی فهرستی از بانک های هدف و سایر وب گاه های مالی است. همچنین این بدافزار اقدام به سرقت اطلاعات از وب گاه های مختلف FTP کرده و گواهی های شخصی را از سامانه های آلوده می رباید.

همچنین ترندمیکرو دو بدافزار دیگر را با نام های TSPY_CHISBURG.A و TSPY_EUPUDS.A شناسایی کرده که از همین ابزار بسته بندی3 استفاده می کنند. زمانی که TSPY_CHISBURG.A در حافظه بار می شود، نام های کاربری و گذرواژه ها را از یاهو، هات میل، پیدگین، فایل زیلا و ***/ISP سرقت می کند. TSPY_EUPUDS.A نیز اطلاعاتی چون شناسه ی کاربر، نسخه ی سامانه عامل، نوع مرورگر و نسخه ی آن را از سامانه های آلوده سرقت می کند؛ نام های کاربری و گذرواژه های ذخیره شده در مرورگرها نیز در جمع این اطلاعات سرقتی قرار دارند. احتمالاً مجرمان سایبری این اطلاعات را در بازارهای زیرزمینی برای راه اندازی سایر حملات به فروش می رسانند.

با توجه به کد ابزار بسته بندی جدید AutoIT که در اینترنت یافت می شود، قابلیت انتشار از طریق درایوهای قابل جابه جایی نیز به ویژگی های آن اضافه شده و ضدبدافزار نصب شده در سامانه را نیز بررسی می کند. همچنین این کد دارای قسمت های بیهوده و توابع مبهمی است که تجزیه و تحلیل آن را دشوارتر ساخته است. در حالی که این بدافزارها (TSPY_CHISBURG.A و TSPY_EUPUDS.A) قدیمی هستند اما به نظر می رسد که ابزار مؤثر و مفیدی برای سرقت اطلاعات باشند به ویژه با توجه به قابلیت های جدید AutoIT!

با تلفیق این بدافزار و یک زبان اسکریپت نویسی مانند AutoIT تجزیه و تحلیل بسیار دشوار می شود؛ به ویژه اگر هیچ دی کامپایلری وجود نداشته باشد که در تجزیه و تحلیل بدافزار به کمک پژوهش گران بیاید. از طرفی AutoIT توسط برنامه های کاربردی معمول نیز استفاده می شود؛ بنابراین این بدافزار که در حالت فشرده است، باید غیرفشرده شود تا بتواند روال ها و رفتارهای مخرب خود را به اجرا بگذارد.

برای مقابله با این گونه از بدافزارها، همانند همیشه، توصیه می شود که از گشودن رایانامه های ناخواسته پرهیز کنید و پرونده های ضمیمه شده در آن ها را باز نکنید. علاوه بر این، کاربران باید سامانه ها و ضدبدافزار خود را به طور منظم به روزرسانی کنند.