Kaspersky Lab تكتشف فيروسات جذر جديدة تستهدف أنظمة تشغيل Windows 64 بت

 

أعلنت Kaspersky Labـ الشركة المتخصصة في مجال تطوير حلول إدارة المحتوى الآمن والتهديدات ـ عن اكتشافها فيروسات جذر جديدة متعددة الأغراض تمثل تهديدًا لأنظمة تشغيل Windows32 بت و64 بت.والسمة البارزة لفيروس الجذر 64 بت هي أنه لا يحاول تجنب نظام حماية نواة PatchGuard، بل بدلاً من ذلك يستخدم توقيعًا رقميًا من نوع خاص لمطوري البرامج.

حيث يجري توزيع فيروس الجذر هذا عبر برنامج تحميل، والذي يحاول بدوره تثبيت برامج ضارة أخرى.ولقد اكتشف خبراءKaspersky Lab  شكلاً مغايرًا يحاول تنزيل وتثبيت برنامج مكافحة فيروسات وهمي احتيالي على نظام التشغيل Mac OS X، بجانب برامج ضارة أخرى.وعلى الرغم من أن هذا البرنامج الضار لا يعمل في بيئة نظام التشغيل Windowsكما هو واضح، إلا أنه يدل على أن مجرمي الإنترنت صارت لهم رغبات متنامية للتعامل مع أنظمة أساسية أخرى بديلة.

وتعد فيروسات الجذر عمومًا برامج ضارة توجد غالبًا في شكل برامج تشغيل ويمكن تشغيلها على مستوى النواة (kernel) داخل نظام التشغيل ومن ثمّ تحميلها عند بدء تشغيل النظام.وهذا ما يجعل من الصعب اكتشاف فيروسات الجذر باستخدام أدوات الحماية القياسية المعروفة.أما فيروسات الجذر الجديدة التي نحن بصددها اليوم فيتم نشرها عبر برنامج تحميل، والذي يستخدم حزمة من فيروسات الاستغلال تسمى "BlackHole Exploit Kit".نموذجيًا، تتم إصابة أجهزة كمبيوتر المستخدمين بمجرد زيارة مواقع الويب التي تحتوي على برنامج التحميل هذا.ويتم استخدام عدد من الثغرات الأمنية (نقاط الاختراق) في برامج شائعة مثل Java Runtime EnvironmentوAdobe Readerوذلك لمهاجمة الجهاز المستهدف.ويتم استخدام برنامج التحميل لإصابة أنظمة تشغيل Windows32 بت و64 بت بأحد نوعي فيروسات الجذر المتوافقة.

ويشرح لنا ألكسندر جوستف ـ خبير الأمان الرئيسي في شركة Kaspersky Labذلك قائلاً: "إن برنامج التشغيل 64 بت يتم توقيعه بما يسمى "توقيع رقمي اختباري".فإذا ما تم بدء تشغيل نظام Windowsـ سواء كان Vistaأو أعلى ـ في الوضع "TESTSIGNING"، فسيكون بإمكان التطبيقات إطلاق تشغيل برامج التشغيل التي تم توقيعها باستخدام هذا النوع من التوقيع.وهذا مثل باب سحري خاص تركته شركة Microsoftخصيصًا لمطوري برامج التشغيل حتى يتمكنوا من اختبار ابتكاراتهم الجديدة من خلاله.فاستغل مجرمو الإنترنت هذه الفتحة السرية التي أتاحت لهم إطلاق تشغيل برامج التشغيل الخاصة بهم دون حاجة إلى توقيع صحيح مرخص".- "وفيما يلي مثال آخر على فيروس الجذر الذي لا يحتاج إلى تجنب نظام حماية PatchGuardالمضمَّن في أحدث أنظمة Windows x64".

إن كلا النوعين من فيروسات الجذر لهما وظائف متشابهة.فهذه الفيروسات تمنع محاولات قيام المستخدم بتثبيت أو تشغيل برامج مكافحة الفيروسات الشائعة وتحمي نفسها بفعالية من خلال اعتراض ومراقبة نشاط النظام.وبينما يترك فيروس الجذر جهاز الكمبيوتر الشخصي قابلاً للاختراق من قِبل الهجمات (يترك ثغرة أمنية)، فإن برنامج التحميل يحاول الحصول على كود ضار وتنفيذه، بما في ذلك Rogue AVالمذكور أعلاه لنظام التشغيل Mac OS X. وهذا برنامج احتيالي يوهم بأنه برنامج مكافحة فيروسات يُعرف باسم Hoax.OSX.Defma.fويعد واحدًا من التهديدات الناشئة مؤخرًا لنظام التشغيل Mac OS X، ذلك النظام الذي بدأ يزداد استهدافه من قِبل مجرمي الإنترنت.

يوضح لنا هذا المثال كيف ازداد تعقيد البرنامج الضار ودقته وكيف بدأ يمتد ليشمل مكونات متنوعة تخدم أغراضًا فردية مختلفة.وقد تستهدف هذه التهديدات إصدارات متنوعة من أنظمة التشغيل بل وأنظمة أساسية مختلفة كذلك