Home-theater-designers
إن خطر التقاط الفيروس حقيقي للغاية. إن الوجود المطلق للقوى غير المرئية التي تعمل على مهاجمة أجهزة الكمبيوتر الخاصة بنا ، لسرقة هوياتنا ومداهمة حساباتنا المصرفية هو أمر ثابت ، لكننا نأمل ذلك مع المقدار المناسب من الفطنة الفنية وقليل من الحظ ، كل شيء سيكون على ما يرام.
لماذا يسخن هاتفي
ومع ذلك ، بقدر ما هو متقدم مثل برامج مكافحة الفيروسات وبرامج الأمان الأخرى ، يستمر المهاجمون المحتملون في العثور على ناقلات شيطانية جديدة لتعطيل نظامك. bootkit هو واحد منهم. على الرغم من أنها ليست جديدة تمامًا على مشهد البرامج الضارة ، فقد كان هناك ارتفاع عام في استخدامها وتكثيف واضح لقدراتها.
لنلقِ نظرة على ماهية bootkit ، ونفحص نوعًا مختلفًا من bootkit ، و Nemesis ، و ضع في اعتبارك ما يمكنك فعله لتظل واضحًا .
ما هو برنامج Bootkit؟
لفهم ما هو Bootkit ، سنشرح أولاً من أين تأتي المصطلحات. Bootkit هو أحد أنواع rootkit ، وهو نوع من البرامج الضارة التي لها القدرة على إخفاء نفسها عن نظام التشغيل الخاص بك وبرامج مكافحة الفيروسات. من المعروف أن الجذور الخفية يصعب اكتشافها وإزالتها. في كل مرة تقوم فيها بتشغيل نظامك ، ستمنح rootkit المهاجم وصولاً مستمراً إلى مستوى الجذر إلى النظام.
يمكن تثبيت برنامج rootkit لأي عدد من الأسباب. في بعض الأحيان يتم استخدام rootkit لتثبيت المزيد من البرامج الضارة ، وأحيانًا يتم استخدامه لإنشاء كمبيوتر 'zombie' داخل شبكة الروبوتات ، ويمكن استخدامه لسرقة مفاتيح التشفير وكلمات المرور ، أو مزيج من هذه ناقلات الهجوم وغيرها.
تعمل أدوات rootkits على مستوى محمل التمهيد (bootkit) على استبدال أو تعديل محمل التمهيد الشرعي بتصميم أحد المهاجمين ، مما يؤثر على سجل التمهيد الرئيسي أو سجل تمهيد وحدة التخزين أو قطاعات التمهيد الأخرى. هذا يعني أنه يمكن تحميل العدوى قبل نظام التشغيل ، وبالتالي يمكن تخريب أي برامج اكتشاف وتدمير.
يتزايد استخدامها ، وقد لاحظ خبراء الأمن عددًا من الهجمات التي تركز على الخدمات النقدية ، والتي يُعد 'Nemesis' منها أحد أحدث أنظمة البرامج الضارة التي تم رصدها.
عدو أمني؟
لا ، ليس أ ستار تريك فيلم ، ولكنه نوع مقرف بشكل خاص من مجموعة bootkit. يأتي النظام البيئي للبرامج الضارة Nemesis مزودًا بمجموعة واسعة من إمكانات الهجوم ، بما في ذلك عمليات نقل الملفات والتقاط الشاشة وتسجيل ضغطات المفاتيح وحقن العمليات ومعالجة العملية وجدولة المهام. أشارت FireEye ، شركة الأمن السيبراني التي رصدت Nemesis لأول مرة ، أيضًا إلى أن البرامج الضارة تتضمن نظامًا شاملاً لدعم الباب الخلفي لمجموعة من بروتوكولات الشبكة وقنوات الاتصال ، مما يسمح بمزيد من القيادة والتحكم بمجرد تثبيته.
في نظام Windows ، يقوم سجل التمهيد الرئيسي (MBR) بتخزين المعلومات المتعلقة بالقرص ، مثل عدد الأقسام وتخطيطها. يعد MBR أمرًا حيويًا لعملية التمهيد ، حيث يحتوي على الكود الذي يحدد موقع القسم الأساسي النشط. بمجرد العثور على ذلك ، يتم تمرير التحكم إلى سجل تمهيد وحدة التخزين (VBR) الموجود في القطاع الأول من القسم الفردي.
تختطف مجموعة Bootkit Nemesis هذه العملية. تنشئ البرامج الضارة نظام ملفات افتراضيًا مخصصًا لتخزين مكونات Nemesis في المساحة غير المخصصة بين الأقسام ، واختطاف VBR الأصلي عن طريق الكتابة فوق الكود الأصلي بكود خاص به ، في نظام يسمى 'BOOTRASH'.
قبل التثبيت ، يقوم مُثبِّت BOOTRASH بجمع إحصاءات حول النظام ، بما في ذلك إصدار نظام التشغيل والبنية. المثبت قادر على نشر إصدارات 32 بت أو 64 بت من مكونات Nemesis اعتمادًا على بنية معالج النظام. سيقوم المثبت بتثبيت bootkit على أي قرص ثابت يحتوي على قسم تمهيد MBR ، بغض النظر عن نوع محرك الأقراص الثابتة المحدد. ومع ذلك ، إذا كان القسم يستخدم بنية قرص GUID Partition Table ، بدلاً من نظام تقسيم MBR ، فلن يستمر البرنامج الضار في عملية التثبيت.
بعد ذلك ، في كل مرة يتم استدعاء القسم ، تقوم الشفرة الخبيثة بحقن مكونات Nemesis المنتظرة في Windows. نتيجة ل ، 'يعني موقع تثبيت البرامج الضارة أيضًا أنها ستستمر حتى بعد إعادة تثبيت نظام التشغيل ، والتي تعتبر على نطاق واسع الطريقة الأكثر فاعلية للقضاء على البرامج الضارة' ، مما يترك صراعًا شاقًا من أجل نظام نظيف.
من المضحك أن النظام البيئي للبرامج الضارة Nemesis يتضمن ميزة إلغاء التثبيت الخاصة به. سيؤدي هذا إلى استعادة قطاع التمهيد الأصلي ، وإزالة البرامج الضارة من نظامك - ولكن هذا موجود فقط في حالة احتياج المهاجمين إلى إزالة البرامج الضارة من تلقاء أنفسهم.
التمهيد الآمن UEFI
لقد أثرت مجموعة أدوات Nemesis إلى حد كبير على المؤسسات المالية من أجل جمع البيانات وسحب الأموال بعيدًا. لا يفاجئ استخدامها كبير مهندسي التسويق التقني في Intel ، بريان ريتشاردسون ، من الذى ملحوظات لقد كانت مجموعات التمهيد والجذور الخفية MBR بمثابة ناقل لهجمات الفيروسات منذ أيام 'إدراج القرص في A: واضغط على ENTER للمتابعة.' وتابع موضحًا أنه في حين أن Nemesis هو بلا شك جزء خطير للغاية من البرامج الضارة ، إلا أنه قد لا يؤثر على نظام منزلك بسهولة.
كيفية توصيل جهاز التحكم اللاسلكي xbox بجهاز الكمبيوتر
من المحتمل أن تكون أنظمة Windows التي تم إنشاؤها في السنوات القليلة الماضية قد تمت تهيئتها باستخدام جدول أقسام GUID ، مع البرامج الثابتة الأساسية التي تستند إلى UEFI. يعتمد جزء إنشاء نظام الملفات الافتراضية BOOTRASH من البرنامج الضار على مقاطعة قرص قديمة لا توجد عند تمهيد الأنظمة باستخدام UEFI ، بينما يؤدي فحص توقيع UEFI Secure Boot إلى حظر مجموعة التمهيد أثناء عملية التمهيد.
لذا فإن تلك الأنظمة الأحدث المثبتة مسبقًا مع Windows 8 أو Windows 10 قد يتم إعفاؤها من هذا التهديد ، في الوقت الحالي على الأقل. ومع ذلك ، فإنه يوضح مشكلة كبيرة تتعلق بفشل الشركات الكبيرة في تحديث أجهزة تكنولوجيا المعلومات الخاصة بها. لا تزال تلك الشركات تستخدم Windows 7 ، وفي العديد من الأماكن ساكن باستخدام Windows XP ، يعرضون أنفسهم وعملائهم لتهديد مالي وبيانات كبير.
السم ، العلاج
الجذور الخفية هي عوامل خادعة. سادة التشويش ، فهي مصممة للتحكم في نظام لأطول فترة ممكنة ، وجمع أكبر قدر ممكن من المعلومات طوال ذلك الوقت. أخذت شركات مكافحة الفيروسات والبرامج الضارة علما وعددًا من الجذور الخفية تطبيقات الإزالة متاحة الآن للمستخدمين :
- برنامج Malwarebytes Anti-Rootkit Beta
- كاسبرسكي لاب TDSSKiller
- برنامج Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER - تطبيق متقدم يتطلب الإزالة اليدوية
حتى مع وجود فرصة الإزالة الناجحة المعروضة ، يتفق العديد من خبراء الأمن على أن الطريقة الوحيدة للتأكد بنسبة 99٪ من وجود نظام نظيف هي تنسيق محرك أقراص كامل - لذا تأكد من الاحتفاظ بنسخة احتياطية من نظامك!
هل واجهت الجذور الخفية ، أو حتى مجموعة التمهيد؟ كيف قمت بتنظيف نظامك؟ اسمحوا لنا أن نعرف أدناه!
يشارك يشارك سقسقة بريد الالكتروني 3 طرق للتحقق مما إذا كان البريد الإلكتروني حقيقيًا أم مزيفًاإذا تلقيت بريدًا إلكترونيًا يبدو مشكوكًا فيه بعض الشيء ، فمن الأفضل دائمًا التحقق من صحته. فيما يلي ثلاث طرق لمعرفة ما إذا كان البريد الإلكتروني حقيقيًا.
اقرأ التالي مواضيع ذات صلة- حماية
- قسم القرص
- القرصنة
- حماية الحاسوب
- البرمجيات الخبيثة
Gavin هو محرر جونيور لـ Windows و Technology Explained ، وهو مساهم منتظم في Really Useful Podcast ومراجع منتظم للمنتج. حصل على بكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات فنية رقمية نُهبت من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة المهنية في الكتابة. يستمتع بكميات وفيرة من الشاي وألعاب الطاولة وكرة القدم.
المزيد من Gavin Phillipsاشترك في نشرتنا الإخبارية
انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!
انقر هنا للاشتراك