بدافزار مکار، به جیب کاربران چشم دوخته است

وقتی نام بدافزار به گوش می‌رسد، ناخودآگاه نام کرم، ویروس و تروجان در ذهن تداعی می‌شود در حالی‌که اشکال بدافزارها روز به روز در حال افزایش است.

تقریبا یک‌سال پیش بود که شرکت Symantec خبر از ورود نسل جدیدی از بدافزارها داد که در اصطلاح Rogue یا مکار نامیده می‌شوند.

احتمالا در طی چند سال گذشته با نمونه‌هایی از بدافزارهایی رو‌به‌رو شده‌اید که برخی از خصوصیات بدافزارهای مکار را داشته‌اند اما نام مکار به این دلیل بر این بدافزارها گذاشته شده که اصلی‌ترین هدف آن‌ها، فریب دادن کاربران است.

سازندگان این‌گونه بدافزارها قصد دارند که با استفاده از روش‌های فریبنده، کاربر را متقاعد به خرید یک محصول امنیتی کنند و در حقیقت به طریقی از قربانیان خود پول دریافت کنند.

اخیرا بدافزاری از این نوع انتشار یافته است که فعالیت‌های گسترده‌ای را انجام می‌دهد.

این بدافزار که RogueWin32FakeVimes نام‌گذاری شده، بدافزاری عجیب است که تقریبا به تمامی بخش‌های سیستم‌عامل ویندوز آسیب وارد می‌کند.

فهرست کلید‌های رجیستری که توسط این بدافزار دستکاری و آلوده می‌شوند، به‌جرات در تمامی 16 صفحه بایت نیز نمی‌گنجد!

در اولین نگاه، این بدافزار بسیار هوشمند عمل می‌کند.

سیستم‌عامل ویندوز نسخه‌های گوناگونی دارد و در عین حال هریک از کاربران ویندوز، تنظیمات اختصاصی خود را دارند.

این بدافزار پس از وارد شدن به رایانه قربانی، نوع سیستم‌عامل، نوع آنتی‌ویروس و یا ابزار امنیتی موجود، نوع مرورگر و موتورهای جست‌وجوی کاربر را تشخیص می‌دهد؛ سپس انبوهی از پیام‌ها و پنجره‌های فریب‌دهنده را به کاربر نشان خواهد داد که به‌طور کامل با شرایط موجود سیستم، منطبق به‌نظر می‌رسد.

به‌عنوان مثال اگر از نرم‌افزار امنیتی مایکروسافت استفاده می‌کنید، انبوهی از پنجره‌ها با برچسبی همنام و کاملا شبیه به پنجره‌های این ابزار امنیتی پیش روی شما باز خواهد شد.

این پنجره‌ها که از قبل مورد اطمینان کاربر قرار گرفته‌اند، حاوی پیغام‌هایی مبنی بر آلوده بودن رایانه هستند و کاربر را به خرید یک بسته امنیتی برای از بین بردن بدافزارها دعوت می‌کنند.

در صورتی‌که کاربر این پیغام را مانند بسیاری از پیغام‌های دیگر امنیتی نادیده بگیرد، حباب ویندوز دقیقا مانند Windows Security Alerts فعال خواهد شد و بارها این هشدار دروغین نمایش داده می‌شود.

RogueWin32FakeVimes به این حد اکتفا نمی‌کند و سعی می‌کند که کاربر را متقاعد به آلوده بودن رایانه کند.

این بدافزار می‌تواند پنجره‌های دروغین خطای ویندوز را به‌طوری‌که با پنجره اصلی هیچ تفاوتی ندارد، تولید کرده و نمایش دهد. این پنجره‌ها مانند پنجره‌های اصلی، حاوی دکمه‌های گزارش خطا و یا شناسایی ایراد است.

در صورتی‌که روی این دکمه‌ها کلیک کنید، این‌طور به‌نظر می‌رسد که مایکروسافت خطا را شناسایی کرده و دلیل آن‌را وجود بدافزار در رایانه تشخیص داده است.

یکی دیگر از فعالیت‌های این بدافزار، سرقت کدهای فعال‌سازی ویندوز است.

برخی از پنجره‌هایی که این بدافزار به کاربران نشان‌می‌دهد، لگوی Windows Genuine Advantage را دربر دارد. این‌گونه پنجره‌ها به کاربر می‌گویند که نسخه ویندوز شما فعال و ثبت نشده و برای این‌کار لازم است که کد فعال‌سازی را از روی دیسک سیستم‌عامل و یا از زیر لپ‌تاپ مشاهده کرده و در پنجره فعال‌سازی وارد کنید.

این پنجره درست مثل پنجره فعال‌سازی ویندوز و با تمام ویژگی‌های تبلیغاتی مایکروسافت نمایش داده می‌شود.

معمولا وارد کردن مجدد کد فعال‌سازی کار پردردسر و یا ناراحت‌کننده‌ای به‌نظر نمی‌رسد و بسیاری از کاربران در برخورد با این پنجره، کد فعال‌سازی سیستم‌عامل خود را دو دستی تقدیم این بدافزار مکار می‌کنند.

نام‌های Security Master AV My Security Engine ،Virus Melt

Malware Catcher 2009

Ultra Antivirus 2009 ،Extra Antivirus

Security Antivirus ،Live PC Care

برخی از نام‌هایی است که این بدافزار به‌عنوان برچسب پنجره نمایشی خود از آن‌ها بهره‌ می‌برد.

در پی فریب خوردن بسیاری از کاربران سیستم‌عامل‌های شرکت مایکروسافت از این بدافزار مکار، این شرکت به‌طور جزئی تمامی پنجره‌های تولید شده به‌وسیله این بدافزار را به نمایش گذاشته و برخی از تفاوت‌های جزئی آن‌ها را با پنجره‌های اصلی ویندوز مشخص کرده است. با مراجعه به آدرس زیر می‌توانید این تصاویر را مشاهده کنید:

http://www.microsoft.com/secur...n32%2fFakeVimes

پنجره‌های اخطاری که به‌طور روزمره ممکن است با آن‌ها رو‌به‌رو شوید می‌توانند از طریق بدافزاری مشابه این بدافزار تولید شده باشند؛ بنابراین بدون توجه به پیغام‌ها، روی دکمه‌های این پنجره‌ها کلیک نکنید.

کسری پاک‌نیت

/ 0 نظر / 7 بازدید