روت کیت Lojax

Lojax-rootkit

روت‌کیت‌ها یکی دیگر از گونه‌های بدافزاری هستند و به شکلی طراحی شده‌اند تا عملکرد خود را در سیستم پنهان نگه دارند. بنابراین، در زمانی که مشغول فعالیت مخرب خود هستند، کاربر متوجه اتفاق مشکوکی در سیستم نخواهد شد. قابلیت دیگر این گونه بدافزاری، در اختیار گذاشتن کنترل از راه دور سیستم به سازندگان بدافزار و مجرمان سایبری است و از آنجایی که روت‌کیت‌ها توانایی غیرفعال‌ کردن ابزارهای محافظتی سیستم و یا پنهان شدن از آنها را دارند، می‌توانند تا مدت‌ طولانی فعال بمانند و خسارات زیادی به بار بیاورند. روت‌کیت‌ها انواع مختلفی دارند که در اینجا به معرفی یکی از روت‌کیت‌های سفت افزار (firmware) می‌پردازیم.

بدافزار روت‌کیتی Lojax، ساخته یکی از گروه‌های نفوذگر با نام fancy bear یا APT28 است. کار اصلی این بدافزار ایجاد یک درب پشتی و دانلودر (جهت دانلود سایر بدافزارها) با بقای بسیار بالا در سیستم قربانی خواهد بود. این بدافزار از راه نر‌م‌افزار ضدسرقت Computrace LoJack، که خود نوعی نرم‌افزار با عملکرد مشابه روت‌کیت‌ها است، به سیستم کاربران نفوذ می‌کند. Computrace LoJack به این منظور استفاده می‌شود تا در صورت سرقت و حتی پاک‌سازی کامل حافظه رایانه، صاحب اصلی قادر به رصد، شناسایی و کنترل سیستم خود باشد. بدافزار Lojax هم با سوءاستفاده از این ابزار و آسیب‌پذیری ذاتی نسخه‌های پیشین آن، عاملی بدافزاری را جایگزین عامل اصلی برنامه سالم Computrace LoJack کرده و با توجه به چشم پوشی برنامه‌های ویروس‌یاب‌ از این برنامه سالم، Lojax نیز از شناسایی می‌گریزد.

علائم آلودگی

از آنجایی‌ که کلیه عملیات بدافزار هنگام بوت (Boot) رخ می‌دهند، در سیستم‌عامل به‌ جز علائم ثانویه چیزی مشاهده نمی‌شود. درواقع هنگام بالا آمدن سیستم‌عامل، بدافزار رد پای خود را می‌پوشاند. آنتی ویروس پادویش، این بدافزار را شناسایی و از سیستم شما محافظت می‌کند. شما می‌توانید برای دیدن جزئیات فنی از تحلیل این بدافزار و روش مقابله و پاک‌سازی سیستم به اینجا مراجعه کنید.