کدهای مخربی که از چشم آنتیویروسها پنهان میمانند
میترا جلیلی / محققان و فعاالن عرصه فناوری دائم به فکر افزایش امنیت سیستمهای عامل هستند تا مانع حملههای سایبری هکرها شوند. در همین راستا هر بار کدهای مخربی را به عمد به نسخههای مختلف سیستمهای عامل تزریق میکنند تا متوجه میزان موفقیت آنتیویروسها در مبارزه با این کدها شوند.این بار دو هکر به نامهای «تـــال لیبرمن» و «یگنی کـــوگان» در کنفرانس امنیتی هکرهای کاله سیاه اروپا که در لندن برگزار شد، موفق به ابداع شیوهای خاص به نام Process Doppelgänging برای تزریق کدهای مخرب شدند؛ کدهایی که در صورت ورود به یک سیســـتم عامل، عمالً تمامی نرمافزارهای آنتی ویروس موجود را در شناســـایی آنها ناکام میگذارد و این کدها میتواننـــد براحتـــی باعث توقف فرآینـــد عادی اجـــرای برنامههای مختلف شـــوند. گفتنی اســـت که این شـــیوه بســـیار شـــبیه به ســـایر تکنیکها ازجمله Process Hollowing است که البته پیچیدگیهای بیشتری دارد چرا که برای نشستن در حافظه سیستم عامل از NTFS Transactions استفاده میکند. این کدها در حالتی خزنده و خاموش، میتواننـــد رمزهای عبـــور کاربران را ســـرقت کنند.در ایـــن آزمایش، کدهای مخرب به حافظه رایانههای مجهز به سیستم عامل ویندوز از نسخه Vista گرفته تا ویندوز 10 تزریق شد که درنهایت این محققان متوجه شدند با اینکه فرآیندهای باال آمدن سیستم عامل ویندوز در حافظهرایانهبهطورغیرقابلبازگشتدستکاریشدهولیبرنامههای امنیتی متوجه این موضوع نمیشـــوند. گفتنی است با اینکه تاکنون این کدهای آلوده به ویندوزهای ایکس پی، 8 ۷، و 10 تزریق شده ولی آنتی ویروسهای مطرح جهان همچون مک آفی، آواســـت، AVG، 0۶3، Qihoo ،ESET NOD32 کاسپراسکای، بیت دیفندر، سمانتک ...و موفق به شناسایی آنها نشدهاند. اما موضوع جالب اینکه، کدهای مخرب بـــر Redstone Windows 10 پس از آخرین آپدیت، تأثیری نداشـــتهاند پس میتوان با کمی درایت، از دستگاههای دیجیتالی در برابر این کدهای مخرب قوی هم حفاظت کرد.