Kaspersky تكتشف برمجية خبيثة ‘fileless’ تنشط في الذاكرة فقط من دون إنشاء أية ملفات عل - منتدى أمن الإسلام | لا اله الا الله محمد رسول الله | IS-SEC.ORG | Dz-SeC Team |

ADMINISTRATOR · 21/03/2012, 20:17

Tweet
نشرت Kaspersky خبرًا، على لسان أحد خبرائها الأمنيين Sergey Golovanov، يشير فيها إلى ظهور نوع جديد من هجمات الـ bots لا يتم فيه إنشاء أي ملف خبيث على القرص الصلب، حيث تبقى الإصابة نشطة في الذاكرة RAM إلى حين إعادة تشغيل الجهاز فقط.

The code on the main page of RIA.ru that is used to download additional content from AdFox.ru

*مصدر الإصابة الذي لاحظته Kaspersky كان الإعلانات المحقونة من شركة إعلانية روسية مشهورة AdFox.ru والتي تقوم مواقع روسية كثيرة بالتعامل معها لإظهار إعلانات موجهة على صفحاتها.

بعد تحليل الصفحات البرمجية للمواقع المصابة لعدة أيام بحثاً عن أي تغيير قد يطرأ على الكود البرمجي، توصل خبراء Kaspersky إلى أن الكود الوحيد الذي تغير هو التابع لشركة AdFox.ru

وفيه ظهر بأن أحد ملفات JavaScript التي يتم تحميلها من موقع AdFox.ru تحوي على iframe تقوم بتحويل المستخدم إلى مواقع ذات محتوى خبيث تملك نطاقات أوروبية .EU والتي بدورها تحتوي على استغلال لثغرة Java معروفة.

The contents of an infected and a clean JS script

بعد تحليل ملف JAR الذي يتم تحميله من خلال أحد تلك المواقع، تبين أنه يقوم باستغلال الثغرة ذات المعرف CVE-2011-3544 والتي يقوم مجرمو الانترنت باستغلالها منذ نوفمبر الماضي في عام 2011، الثغرة التي تستهدف كلا من نظامي Mac OS و Windows. وتجدر الإشارة إلى أن هذه الثغرة تعد من أكثر الثغرات شهرة واستخداماً في الحزم الفيروسية الخبيثة التي يتم شراؤها واستخدامها عبر الانترنت.

لكن ما الذي يميز هذه البرمجية الخبيثة عن غيرها؟

كقاعدة في استغلال هذه الثغرة يتمثل في حفظ ملف خبيث على القرص الصلب لأحد الأنظمة المصابة، والذي يكون عادة dropper/downloader يوجهه صاحبه إلى تحميل برمجيات خبيثة أخرى لاحقاً بغفلة عن أعين مستخدمي النظام المصاب.

لكن في خبرنا هذا، فإن البرمجية الخبيثة لا تقوم بوضع أي ملف على القرص الصلب، على العكس، فإنها تقوم بحقن الحمل الضار payload ضمن ملف DLL في ذاكرة برنامج javaw.exe مباشرة من الويب. ويكون العنوان الذي يحوي على المكتبة الضارة مشفراً ضمن الـ iframe الموزعة من إعلانات AdFox.ru.

الجزء المشار إليه في الصورة بلون مظلل هو المقطع الضار الذي تم حقنه في فضاء عناوين javaw.exe

بعد أن يتم الحقن بنجاح، تقوم المكتبة الضارة التي تم حقنها في الذاكرة بإرسال طلبات إلى عناوين عبر الانترنت، تشبه هذه الطلبات إلى حد بعيد استعلامات البحث في محرك Google، كالتالي على سبيل المثال:

***8220;search?hl=us&source=hp&q=%s&aq=f&aqi=&aql=&o q=***8221;

تتضمن هذه الطلبات معلومات عن المواقع التي قام المستخدم بزيارتها والتي يتم الحصول عليها من المتصفح، بالإضافة إلى العديد من المعلومات الأخرى حول النظام المصاب.

ونظراً للطريقة المستخدمة في حقن الكود الخبيث في ذاكرة برنامج، فإنه يبقى نشطاً إلى حين إعادة تشغيل النظام المصاب فقط، لكن في هذه الحالة، فهذا الأمر لن يؤثر على أصحاب هذه الـ bot.

ومن الأسباب خلف هذا الاعتقاد، أنه بعد أن يتم إرسال عدد من الطلبات إلى قاعدة التحكم C&C واستلام إجابات منها، تقوم البرمجية الضارة باستخدام وسائل عديدة لتعطيل ميزة UAC (في Windows Vista+)، يصبح بإمكان البرمجية بعدها تثبيت نسخة من تروجان Lurk على الجهاز المصاب. ومن الجدير بالذكر بأنه قرار تثبيت نسخة من التروجان يتم استلامه من قاعدة الإدارة والتحكم.

السبب الثاني، أن احتمال عودة مستخدم هذا النظام إلى أحد المواقع المصابة بإعلانات AdFox.ru والتي حصل على إصابته الأولى منها، عالٍ.

ولكون البرمجية الضارة لا تقوم بكتابة أي ملف ضار إلى القرص الصلب عند الإصابة، يصبح من الصعب جداً على مكافحات الفيروسات التقاط الإصابة.

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
أجزاء من تروجان Duqu مكتوبة بلغة برمجية غير معروفة، وKaspersky تطلب من المبرمجين مُسا	ADMINISTRATOR	[ منتدى اخبــــار الشبكـــة]	0	11/03/2012 11:11
تويتر يوفر واجهة برمجية لمشاركة الصور	ADMINISTRATOR	[ منتدى اخبــــار الشبكـــة]	0	16/08/2011 13:22
روابط Goo.gl خبيثة تنتشر على حسابات Twitter	ADMINISTRATOR	[ منتدى اخبــــار الشبكـــة]	1	12/01/2011 17:09
مشكلة برمجية خطيرة في تطبيق الرسائل النصية للاندرويد	ADMINISTRATOR	[ منتدى اخبــــار الشبكـــة]	0	01/01/2011 03:38
ويندوز فون يدمر كروت الذاكرة	ADMINISTRATOR	[ منتدى اخبــــار الشبكـــة]	0	14/11/2010 22:00

حالياً الأعضاء النشيطين الذين يشاهدون هذا الموضوع : 1 (0 عضو و 1 ضيف)

(أظهر الكل) الأعضاء الذين قاموا بمشاهدة هذا الموضوع : 1
Igor000rogI