خوش آمدید

مهندسي اجتماعي يکي از روش‌هاي جديدي است که ويروس‌نويسان براي وسوسه کردن کاربر به کليک روي لينک‌هاي آلوده بهره مي‌برند.

در اين روش، ويروس‌نويس با ايجاد حس‌ هيجان، کنجکاوي و يا حتي ترس، کاربر را مجبور مي‌کند که بي‌توجه به خطرات احتمالي روي يک لينک آلوده کليک کند.

ترس نيز مي‌تواند يکي از ايده‌هاي مهندسي اجتماعي باشد همان‌گونه که مدتي پيش "اخطار به آلوده شدن به بدافزار"، عامل ترسناک مهندسي اجتماعي براي فريب کاربر بود.

همين روش ساده هزاران رايانه در جهان را به بدافزار‌هاي گوناگوني آلوده کرد و امروز همين ترفند با نقاب جديدي بازگشته است.

اگر در وب‌سايت‌ها با نسخه قديمي اين بدافزار آشنا شده باشيد و يا رايانه شما نيز قرباني اين بدافزار شده باشد مي‌دانيد که پنجره اخطاري نمايش داده شده که شبيه به هيچ آنتي‌ويروسي نيست. اين پنجره حاوي يک يا چند لينک است و به کاربر توصيه مي‌کند که با کليک روي اين لينک‌ها و پرداخت مبلغي، يک آنتي‌ويروس دانلود کند که قادر به پاک کردن بدافزار است.

جالب اين‌جاست که در سراسر جهان هزاران نفر اين مبلغ را پرداخته‌اند در حالي‌که نتيجه کليک روي اين لينک نه تنها از دست دادن پول است بلکه راه را براي ورود بدافزار‌هاي بيشتر باز مي‌کند.

روش جديد‌تر اين بدافزار، بسيار پيشرفته‌تر و کارآمدتر از قبلي عمل مي‌کند و مي‌تواند دارندگان همه آنتي‌ويروس‌هاي قديمي را هدف قرار دهد.

Trojan:Win32/FakeSpypro نام نسخه جديد اين بدافزار است که به‌تازگي منتشر و به‌روز‌رساني شده است.

اين بدافزار پس از ورود به رايانه‌هايي که به آنتي‌ويروس به‌روز مجهز نيستند، نوع آنتي‌ويروس را شناسايي مي‌کند.

با توجه به اين‌که برخي از آنتي‌ويروس‌ها همچنان اين بدافزار را شناسايي نمي‌کنند، اين بدافزار فرصت مي‌يابد که با دانلود چند بسته اضافي، تصاويري کاملا شبيه به پيغام‌هاي آنتي‌ويروس نصب شده روي رايانه به کاربر نشان دهد.

در ظاهر، پيغامي از طرف آنتي‌ويروس صادر شده است و بيانگر وجود يک بدافزار در رايانه است. در عين حال يک لينک براي به روز‌رساني آنتي‌ويروس نيز نمايش داده شده تا امکان حذف بدافزار ممکن شود. بنابراين احتمال اين‌که کاربر روي لينک آلوده کليک کند زياد است چرا که همه کاربران به آنتي‌ويروس‌هاي خود و توصيه‌هاي آن اعتماد کاملي دارند.

برخي از آنتي‌ويروس‌هاي ضعيف‌تر نيز کاملا مي‌توانند هدف اين بدافزار قرار گيرند و پيغام‌ها به‌طور کامل از طرف آنتي‌ويروس صادر شود.

شرکت مايکروسافت با نمايش چند عکس، نشان داده که نسخه‌هاي به‌روزرساني نشده آنتي‌ويروس‌هايي مانند symantec،NOD32 و Sophos مي‌توانند قرباني حملات اين بدافزار باشند.

نسخه‌هاي قديمي Windows Guard نيز بهترين قربانيان اين بدافزار محسوب مي‌شوند.

همان‌گونه که از نام Trojan:Win32/FakeSpypro مشخص است، اين بدافزار در تروجان‌ها رده‌بندي مي‌شود.

بيشتر کساني که به اين بدافزار آلوده شده‌اند، آن‌را از سايت‌ها و يا ايميل‌هاي آلوده دريافت کرده‌اند.

اين بدافزار به قربانيان خود توصيه مي‌کند که بسته‌اي به‌نام Spyware Protect 2009 را دانلود و نصب کنند و از همين‌رو به اين نام نيز مشهور شده است. اين بسته‌ حاوي چند بدافزار ديگر از جمله چند کرم و تروجان است.

پس از نصب اين بدافزار يک فايل اجرايي با نام sysguard.exe در مسير "%windir% ذخيره مي‌شود. کليدهاي رجيستري زير باعث مقيم شدن اين فايل در رايانه مي‌شود:

data: "%windir%sysguard.exe"

HKCUSoftwareMicrosoft

WindowsCurrentVersionRun

value: "(default)"data: bho

HKLMSOFTWAREClasses

CLSIDC9C42510-9B21-41c1-9DCD-8382A2D07C61

فايل iehelper.dll نيز باعث آسيب‌ديدن مرورگر شده که در System32 ذخيره مي‌شود.

کليد‌هاي رجيستري زير باعث فعال باقي‌ماندن فايل iehelper.dll مي‌شوند:

value: "(default)"

data: system folder iehelper.dll

HKLMSOFTWAREClassesCLSIDC9C42510-9B21-41c1-9DCD-8382A2D07C61InProcServer32

value: "(default)"data: "0

HKLMSOFTWAREMicrosoft

WindowsCurrentVersion

ExplorerBrowser Helper Objects

C9C42510-9B21-41c1-9DCD-8382A2D07C61

خوشبختانه اگر نتايج جست‌وجو به سايتي‌ حاوي اين بدافزار منتهي شود، جست‌و‌جوگر به شما پيغامي مبني بر آلوده بودن سايت نشان خواهد داد؛ پس اين پيغام‌ها را ناديده نگيريد.

کسري پاک‌نيت