ttrasn
12-04-2012, 11:29 PM
Shylock ملویری مالی است که در سال ۲۰۱۱ توسط Trusteer کشف شده است. در این ملویر که تخصص آن ربودن اطلاعات بانکی است اخیرا تغییراتی داده شده و بهبود یافته است.
http://up.pnu-club.com/images/ehu2v6nptebt6ackhid.jpeg (http://up.pnu-club.com/)
(http://itsn.ir/)به نقل از اندرنیوز,این تغییرات از چند جهت انجام شده است. مثلا تزریق کد در پروسس ها و یا در دست گرفتن کنترل کامپیوتر و همچنین روش مخفی ماندن ان تا مانع از شناسائی توسط برنامه های امنیتی گردد.
همچنین Shylock فایل های نصبی خود را حذف کرده و فقط در مموری عمل کرده و بطور خودکار پروسس مخرب را با هر ریبوت کامپیوتر الوده اجرا مینماید. اکنون Shylock یک قابلیت جالب توجه دیگر نیز دارد و میتواند در صورتی که روی ماشین مجازی اجرا شود متوجه این امر گشته و به هیچ وجه اجرا نخواهد شد.برای یاداوری محققین امنیت, ملویر را روی یک ماشین مجازی انالیز میکنند. به اینصورت انالیز این ملویر غیر ممکن میشود. لایه های دیگری از این ملویر میتوانند فضای کنترل از راه دور دستگاه را تشخیص دهند و میتواند کامپیوترهای نرمال را از کامپیوترهای شبکه فضای انالیز تشخیص داده و اجرا نشود. همچنین اگر از طریق یک سشن از راه دور برای اجرای کامپیوتر استفاده شود این ملویر نصب نخواهد شد و بدینگونه روشی بسیار دقیق و مشکل برای کشف حضورش در فضای مجازی یا ساندباکسی دارد. نمیتوان گفت که Shylock تا چه زمان میتواند از یافتن خود ممانعت نماید. از نظر محققین امنیت, روشهای این ملویر واقعا موثر نیستند. اما این محققین دریافته اند که ۲۰ ملویری که در جهان در صدر سایر ملویرها قرار دارند بجز کرم Conficker, هیچکدام در صدد تشخیص ماشین مجازی برنمیایند.
http://up.pnu-club.com/images/ehu2v6nptebt6ackhid.jpeg (http://up.pnu-club.com/)
(http://itsn.ir/)به نقل از اندرنیوز,این تغییرات از چند جهت انجام شده است. مثلا تزریق کد در پروسس ها و یا در دست گرفتن کنترل کامپیوتر و همچنین روش مخفی ماندن ان تا مانع از شناسائی توسط برنامه های امنیتی گردد.
همچنین Shylock فایل های نصبی خود را حذف کرده و فقط در مموری عمل کرده و بطور خودکار پروسس مخرب را با هر ریبوت کامپیوتر الوده اجرا مینماید. اکنون Shylock یک قابلیت جالب توجه دیگر نیز دارد و میتواند در صورتی که روی ماشین مجازی اجرا شود متوجه این امر گشته و به هیچ وجه اجرا نخواهد شد.برای یاداوری محققین امنیت, ملویر را روی یک ماشین مجازی انالیز میکنند. به اینصورت انالیز این ملویر غیر ممکن میشود. لایه های دیگری از این ملویر میتوانند فضای کنترل از راه دور دستگاه را تشخیص دهند و میتواند کامپیوترهای نرمال را از کامپیوترهای شبکه فضای انالیز تشخیص داده و اجرا نشود. همچنین اگر از طریق یک سشن از راه دور برای اجرای کامپیوتر استفاده شود این ملویر نصب نخواهد شد و بدینگونه روشی بسیار دقیق و مشکل برای کشف حضورش در فضای مجازی یا ساندباکسی دارد. نمیتوان گفت که Shylock تا چه زمان میتواند از یافتن خود ممانعت نماید. از نظر محققین امنیت, روشهای این ملویر واقعا موثر نیستند. اما این محققین دریافته اند که ۲۰ ملویری که در جهان در صدر سایر ملویرها قرار دارند بجز کرم Conficker, هیچکدام در صدد تشخیص ماشین مجازی برنمیایند.