بدافزارها از تکنیکهای گوناگون و گاها منحصر به فردی برای دور زدن آنتیویروسها استفاده میکنند. در یکی از نمونههای بررسی شده در آزمایشگاه تحلیل بدافزار پادویش که با نام Trojan.Win32.Andromeda شناسایی میشود، از ویژگی غیرمتداولی برای مخفی شدن از آنتیویروسها استفاده شده است.
البته تکنیک استفاده شده روش جدیدی نیست و پیش از این توسط ویروسها و کرمهای چند ریختی برای فرار از شناسایی استفاده شده است. آنچه موجب مصونیت Andromeda از آنتیویروسها میشود، سایز فایل بدافزار است. در حالی که سایز فایلهای بدافزاری معمولا فراتر از چند صد کیلوبایت نمیرود، Andromeda حجمی بیش از 70 مگابایت دارد!
حجم بالا چگونه به کمک بدافزار میآید؟
طبق بررسیهای انجام شده، محتوای اصلی و مخرب فایل Andromeda تنها در حدود ۵ کیلوبایت است و باقی محتوای فایل بدافزار با دادههای بیارزش و غیرمخرب اشغال شده است. شگرد بدافزار، تغییر این محتوای بیمصرف از سیستمی به سیستم دیگر است. نتیجه اینکه فایل بدافزار هر بار در قالب نمونهای جدید ظاهر میشود و سبب سردرگمی آنتیویروسها خواهد شد.
بر اساس این مشاهدات، سازندگان بدافزار از هیچ تلاشی برای دشوار کردن شناسایی آنتیویروسها دریغ نکردهاند.
با این حال برخی ممکن است گمان کنند این روش برای دور زدن آنتیویروسها چندان کارآمد نیست. اما در مواردی که آنتیویروس و یا تحلیلگر بدافزار، اندازه فایلهای اسکن شده را محدود به حجمهای کوچکتر میکند، فایلهای بزرگ در رادار آنتیویروس نامرئی میشوند. اعمال محدودیت اسکن در فایلهای با حجم بالا، عمدتاً با هدف بالا بردن سرعت و بهبود عملکرد فرآیند اسکن انجام میشود.
Andromeda پس از مخفی شدن در سیستم چه اقدامات مخربی انجام میدهد؟
بدافزار Andromeda یک نمونه بات از مجموعه بدافزار بدنام Gamarue است و مخفی شدن از آنتیویروسها اولین گام این بدافزار است که در بسیاری موارد با موفقیت انجام میشود.
| حال که دردسر و مزاحمتی از سوی آنتیویروسها بدافزار را تهدید نمیکند، با برقراری ارتباط شبکهای، فایلهای مخرب متعددی را دانلود میکند. همانگونه که انتظار میرود، با اجرای فایلهای بدافزاری مختلف، اطلاعات گوناگونی از سیستم قربانی سرقت و به سرورهای مورد نظر ارسال میشود. اطلاعات سرقت شده شامل اطلاعات بانکی ذخیره شده در سیستم، رمزهای عبور، اسناد و فایلهای محرمانه و خصوصی و به طور کلی هر نوع دادهی قابل جمع آوری برای بدافزار است. |
یکی دیگر از ویژگیهای جالب این بدافزار، تشخیص زبان صفحه کلید است. اگر Andromeda صفحه کلید روسی، اوکراینی، بلاروسی یا قزاقستانی را شناسایی کند، عملیات مخرب خود را متوقف و بهطور کامل از دستگاه آلوده حذف میشود، اما در غیر این صورت، روند تخریب ادامه خواهد داشت.
پادویش چگونه این بدافزار را شناسایی میکند؟
آنتی ویروس پادویش با استفاده از پویشگر حافظه خود، Andromeda و همچنین فایلهای دانلود شده توسط آن را شناسایی و حذف میکند. جهت پیشگیری از آلودگی به Andromeda پیشنهاد میشود با نصب پادویش از ورود آن به سیستم خود جلوگیری کنید. شما میتوانید برای دیدن جزئیات فنی تحلیل این بدافزار به بانک اطلاعات تهدیدات بدافزاری پادویش مراجعه نمائید.
