انتشار بدافزاربانکی Carberp در فضای مجازی
Carberp می تواند قسمت MBR هارد درایو کامپیوتر را مبتلا کند و سپس از ردیابی آن توسط نرم افزارهای آنتی ویروس جلوگیری می کند. تحلیل اولیه نشان میدهد در حقیقت حدود 2 گیگابایت از کد منبع حاوی مدول MBR است./ همچنین تحلیلهای مکرر نشان داده است آرشیو بدافزار شامل کدمنبع برای بدافزارهای قدیمی تر و رکوردهای سری IM همین مولف است./بدافزارهای بانکی انتشار نامحدود کد منبع احتمالا سبب می شود Carberp دوباره فعال شود.
به گزارش پایگاه خبری بانکداری الکترونیک کد منبع برای Carberp( یکی از گرانترین و قدرتمندترین قطعات بدافزار بانکداری آنلاین) در حال حاضر به صورت آنلاین وارد بازار شده است. مشهور است که Carberp می تواند قسمت MBR هارد درایو کامپیوتر را مبتلا کند و سپس از ردیابی آن توسط نرم افزارهای آنتی ویروس جلوگیری می کند. تحلیل اولیه نشان میدهد در حقیقت حدود 2 گیگابایت از کد منبع حاوی مدول MBR است.
در پایان سال گذشته مولف قدرتمندترین بدافزار بانکی موجود برای دسترسی کامل به محصولش بهای 40 هزار دلار را طلب می کرد. البته مشتریان این ابزار کلاهبرداری می تواند با پرداخت 2تا10 هزار دلار در ماه آن را اجاره کنند.
در اوایل ماه ژوئن این کد منبع به بهای 50 هزار دلار فروخته می شد. چند روز قبل، همین کد منبع از طریق یک فروم روسی به طور رایگان قابل دانلود شد. در نتیجه آرشیو1.88GB اکنون در تمام فرومهای هک کردن کلی مانند Kim Dotcom ، Mega، trojanforge.com وجود دارد .
یکی از ویژگیهای غیر معمول این بدافزار که از 2010 تاکنون در حال شکل گیری است، بوت کیت (W32/Rovnix) آن است که به نظر می رسد در آرشیوی که اکنون به طور رایگان عرضه می شد، موجود باشد. این بوت کیت ، رکورد مستر بوت سیستم ویندوز( ویندوزهای ایکس پی، ویندوز7 و ویندوز8) را آلوده میکند و به همین دلیل آنتی ویروسهای معمولی نمی توانند آن را ردیابی کنند. به گفته کارشناسان بوت کیت نوعی درایور تایید نشده را در فرایند بوت ویندوز قرار می دهد که ظاهرا با نسخه های 64بیتی سیستم عامل عمل میکند و درایور قبل از خود پچ گارد (Patch Guard) وارد عمل می شود. پچ گارد طراحی شده تا از اجرای دریوارهای تایید نشده جلوگیری کند. بوت کیت از فایل سیستم کدگذاری شده ای استفاده میکند که در بخشهای تخصیص نیافته هارددرایو پنهان شده اند.
همچنین تحلیلهای مکرر نشان داده است آرشیو بدافزار شامل کدمنبع برای بدافزارهای قدیمی تر و رکوردهای سری IM همین مولف است.
به گفته کارشناسان بدافزارهای بانکی ،انتشار نامحدود کد منبع احتمالا سبب می شود Carberp دوباره فعال شود. کل بسته Carberp شامل سازنده است که ابزاری برای دستگاههایی است که از لحاظ فنی انطباق کمتری دارند و مجرمان اینترنتی خرده پا نیز می توانند وارد بازار سیاه کلاهبرداریهای عظیم شوند. این دقیقا همان چیزی است که 2 سال قبل اتفاق افتاد. در آن زمان کد منبع برای بدافزار بانکی مشهور ZeuS ناگهان در فضای وب پدیدار شد. یکی از پیامدهای سرازیرشدن ZeuS به بازار، ترویج بدافزارCitadel است که در زمان حال هم ادامه دارد.
منبع:
http://www.h-online.com