حمله ی بدافزار مبتنی بر JAVA به سکوهای ویندوز، مک و لینوکس
آزمایشگاه ضدبدافزار کسپراسکی، قطعه بدافزاری را کشف کرده است که به خوبی می تواند تمام سکوهای ویندوزی، مک و لینوکسی را مورد حمله قرار دهد.
همان طور که می دانید، برنامه های جاوا مستقل از سکو و با ماشین مجازی جاوا اجرا می شوند و به راحتی می توان بدافزاری را توسعه داد که بتواند تمام سکوهای رایج را مورد هدف قرار دهد.
این بدافزار در صورتی که ماشین مذکور، دارای نسخه ی آسیب پذیری از جاوا باشد، می تواند رایانه ی قربانی را آلوده کند.
این تروجان کاملاً مبتنی بر جاوا می باشد و از آسیب پذیری جاوا با شناسه ی CVE-2013-2465 سوء استفاده می کند که البته توسط اوراکل وصله شده، اما همان طور که همیشه این نگرانی وجود داشته است، تمامی کاربران هیچ گاه به موقع رایانه های خود را به روز نمی کنند.
به محض این که این بدافزار اجرا شود، نسخه ای از خود را در مسیر پوشه ی شخصی ِ کاربر ایجاد می کند و تنظیمات رایانه ی قربانی را به نحوی تغییر می دهد که با هر بار راه اندازی مجدد رایانه ، اجرا شود.
ارسال فرمان و ارتباط با کارگزارهای کنترل و فرمان دهی از طریق پروتکل IRC ویژه ی گفت گوی امن برخط، انجام می شود. محققان آزمایشگاه کسپراسکی این بدافزار را .HEUR:Backdoor.Java.Agent.a نامیده اند، و گزارش داده اند که به منظور برقراری ارتباط از طریق پروتکل IRC، این بدافزار از یک چارچوب متن باز به نام PircBot استفاده می کند.
این بدافزار از روش های مخفی سازی ویژه ای به نام Zelix Klassmaster استفاده می کند که آشکارسازی اش را دشوارتر کند. در این روشه ثابت های رشته ای رمز گذاری می شوند و به ازای هر کلاس، یک کلید جداگانه ایجاد می شود و این بدین معنی است که برای رمزگشایی کل برنامه نیاز است که هر کلاس به صورت جداگانه رمزگشایی شود که بسیار دشوار است.
بسته به این که در چه سکویی این بدافزار در حال اجراست، به منظور این که در هربار راه اندازی رایانه از اجرای خودش مطمئن باشد، در مسیر های زیر تغییراتی ایجاد می کند:
در ویندوز: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
در OS X: استفاده از سرویس استاندارد اجرای برنامه های OS X
در لینوکس: /etc/init.d/
کد این بدافزار شامل یک پیکربندی رمز شده به منظور اتمام قراردادن برنامه در فهرست برنامه هایی است که با راه اندازی سامانه اجرا شوند، می باشد.
پس از این که بدافزار فعالیت های اصلی را برای پیوستن به فهرست برنامه هایی که با راه اندازی سامانه اجرا شوند، انجام داد، یک رشته ی یکتا به ازای هر قربانی برای توسعه دهندگان بدافزار ارسال می کند. این رشته ی یکتا به عنوان شناسه هر قربانی استفاده می شود و در یک پرونده ی jsuid.dat در مسیر پوشه ی شخصی کاربر ذخیره می شود.
بدافزار این قابلیت را دارد که از رایانه ی قربانی برای حملات انسداد خدماتِ توزیع شده یا DDoS استفاده کند و از دو نوع HTTP و UDP این حملات استفاده می کند و زمانی که مهاجم قصد حمله به یک کاربر خاص را دارد، آدرس آی پی، شماره ی پورت، مدت زمان حمله و تعداد نخ هایی که در حمله به قربانی استفاده می شود را برای هر ماشین آلوده تعریف می کند.
آخرین ارسال های انجمن
| عنوان | پاسخ | بازدید | توسط |
 باگ جیمیل موجب حذف ناخواسته برخی ایمیل های کاربران شد |
0 | 256 | seraj |
| اصلاح آسیب پذیری توسط موزیلا |
0 | 203 | seraj |
| آسیب پذیری کروم و امکان شنود از قربانی |
0 | 191 | seraj |
| به نام خدا |
0 | 180 | seraj |
سایت