گرداب/ چرا محققین در تشخیص بعضی از بدافزارها عاجز مانده‌اند؟

تاریخ انتشار : ۱۱ آذر ۱۳۹۱

این‌گونه بدافزارها می‌توانند فعالیت‌های کاربر را رصد کنند و در صورتی که پی ببرند که در محیط مجازی قرار گرفته‌اند، به خواب می‌روند تا از تشخیص و تحلیل‌شان جلوگیری شود.

به گزارش گرداب به نقل از تراستیر، گونه‌ای جدید از بدافزارها یافت شده‌اند که محققین شرکت‌های امنیت اینترنت قادر به تشخیص و تحلیل آن نیستند.

روش شناخت بسیاری از انواع ویروس‌ها و بدافزارها بدین صورت است که محققین، آن‌ها را وارد یک محیط رایانه مجازی کرده و با بررسی روش عملکرد، آن‌ها را مورد تحلیل قرار می‌دهند. این محققین سپس راه دفع و بی‌خطر کردن این بدافزار‌ها را به شرکت‌های امنیتی سازنده آنتی‌ویروس ارائه می‌دهند.

"شای‌لوک" که یکی از نمونه‌های بارز این گونه بدافزارهاست با فرستادن یک نمونه کد مشابه خود به سیستم هدف و تحلیل داده‌های بازگشتی به این نتیجه می‌رسد که آیا محیط مقصد، یک محیط آزمایشگاهی مجازی است و یا یک رایانه معمولی؛ در صورتی که سیستم مقصد یک محیط آزمایشگاهی باشد، این بدافزار خود را در این محیط نصب نمی‌کند.

بدافزار "شای‌لوک" با استفاده از این ترفند محققین را در تشخیص و تحلیل این بدافزار با مشکل مواجه کرده است، البته انواع دیگری از این گونه بدافزارها وجود دارند که نحوه عملکرد آن‌ها به صورتی مشابه بوده و در نوع خود جالب هستند.

"کانفیکر" نوعی دیگر از این بدافزارهاست که دارای شاخصه ضد عیب‌یابی است و با قرار گرفتن در محیط مقصد، در صورتی که تشخیص دهد در محیط تست قرار گرفته است؛ مانع از باز شدن و تجزیه و تحلیل می‌شود.

علاوه بر تشخیص محیط مجازی، این بدافزارها از روش‌های دیگری نیز سود می‌برند؛ بسیاری از این گونه بدافزارها از روی کلیک‌های موس پی به فیزیکی بودن محیط می‌برند، آن‌ها حتی می‌توانند فعالیت‌های کاربر را رصد کنند و در صورتی که پی ببرند که در محیط مجازی قرار گرفته‌اند، به خواب می‌روند تا از تشخیص و تحلیل‌شان جلوگیری شود.

"آمیت کلین" کارشناس شرکت امنیتی تراستیر می‌گوید: "بارزترین شاخصه "شای‌لوک"، نحوه گریز این بدافزار است. این بدافزار در صورت تشخیص فعالیت کاربر، توانایی حذف خود و کلید رجیستری‌اش را دارد لذا هنگامی که محققین بخواهند بر روی آن تحقیقی انجام دهند؛ هیچ چیزی را مشاهده نمی‌کنند."

وی چنین ادامه می‌دهد: "امّا هنگامی که رایانه قربانی دوباره روشن شود، این بدافزار خود را بازیابی کرده و به فعالیت خود ادامه می‌دهد."

خطرناک‌تر از همه این است که این بدافزار برای سیستم‌های اقتصادی و تجاری برنامه ریزی شده است.