کارمندان دولت مراقب نسخه جدید بدافزار H1N1 باشند

گزارشی که هفته گذشته شرکت سیسکو منتشر کرد، نشان می‌دهد نسخه جدیدتر بدافزار H1N1 به ویژگی‌های قدرتمندی تجهیز شده است که از آن جمله می‌توان به توانایی عبور از بخش کنترل دسترسی کاربر (UAC)، به کارگیری تکنیک جدیدی برای به سرقت بردن کتابخانه‌های پویا (Dll) و تکنیک‌های مبهم‌سازی کدها اشاره کرد. به‌طوری که روند مهندسی معکوس آن را به شدت دشوار کرده‌اند. در این میان ویژگی خودانتشاری این بدافزار به آن اجازه می‌دهد به سرعت به کامپیوترهایی موجود در شبکه نفوذ کرده یا درایوهای USB متصل به کامپیوتر را آلوده‌ سازد. این ویژگی‌های جدید به بدافزار H1N1 این توانایی را می‌دهند تا اطلاعات را از سیستم‌های آلوده جمع‌آوری کرده، آن‌ها را با استفاده از الگوریتم RC4 رمزنگاری کرده و برای مرکز کنترل و فرماندهی ارسال کند.

H1N1 این توانایی را دارد تا اطلاعات را از درون پروفایل لاگین مرورگر فایرفاکس و ویژگی پر کردن هوشمند خودکار فرم‌های اینترنت اکسپلورر و همچنین آتلوک مایکروسافت استخراج کند. پاک کردن کپی‌های سایه‌ای (shadow copies) و غیرفعال سازی گزینه‌های بازیابی سیستم‌عامل در عمل نه تنها به کاربر اجازه بازگرداندن اطلاعات از دست رفته را نمی‌دهد، بلکه ردپاهای موجود بدافزار را نیز پاک می‌کند. جاش رینولدز پژوهشگر امنیتی سیسکو در این ارتباط گفته است: این قابلیت‌های به‌طور معمول در ارتباط با باج‌افزار مورد استفاده قرار می‌گیرد، با این وجود ما هنوز شواهدی که به ما نشان دهد H1N1 در حال بارگذاری این چنین بدافزارهایی است مشاهده نکرده‌ایم.» نسخه‌های قدیمی‌تر بدافزار H1N1 به طور سیل آسایی قادر به توزیع بدافزارهای بانکی Vartrack یا Pony بودند، اما نسخه جدید تنها H1N1 را منتشر کرده و کار دیگری انجام نمی‌دهد. با این وجود H1N1 هنوز هم می‌تواند بدافزارهایی را روی سیستم قربانیان بارگذاری کند. تحلیل‌ها نشان می‌دهد که بدافزار فوق اکنون در حال ارسال حجم گسترده‌ای از هرزنامه‌ها است. این هرزنامه‌ها در قالب فایل‌های Doc که درون ضمیمه ایمیل‌ها قرار دارند، ارسال می‌شوند. این فایل‌ها از ترفند قدیمی ماکرو فعال‌ساز Enable Editing استفاده می‌کنند.

مایکرویی که مجهز به یک اسکرپیت VBA بوده و به منظور دانلود و نصب H1N1 مورد استفاده قرار می‌گیرد. نسخه جدید به‌طور ویژه سازمان‌های مالی، انرژی، ارتباطی، نظامی و بخش‌های دولتی را هدف قرار داده است. ایمیل‌ها با موضوعات فربینده‌ای برای کارکنان هر یک از این نهادها ارسال می‌شوند. تحقیقات انجام گرفته نشان می‌دهد، گروهی از مجرمان سایبری که سابقه توزیع بدافزارهای مرتبطی همچون درب پشتی Bayrob، بدافزار RorNix، بدافزار Zeus و... را داشته‌اند در پشت طراحی نسخه جدید بدافزار H1N1 قرار دارند. امت کوین، کارشناس امنیتی سیسکو در این ارتباط گفت: «بدافزار H1N1 یک نمونه عینی و مشهود از بدافزارهایی است که با گذشت زمان روند تکامل را پشت سر گذاشته‌اند  همین موضوع خطرناک بودن آن‌ها را دو چندان می‌کند. تکنیک مشوش‌سازی کدهای درون فایل اجرایی نشان می‌دهد، نویسندگان بدافزار کاملا مصمم هستند تا از کدهای خود محافظت به عمل آورند. حتا اگر این مشکل نیز حل شود پژوهشگران هنوز هم با چالش‌های خیلی بزرگ‌تری در ارتباط با تحلیل این بدافزار روبرو هستند.»