بدافزار مکار، به جيب کاربران چشم دوخته است



وقتي نام بدافزار به گوش ميآ*رسد، ناخودگاه نام کرم، ويروس و تروجان در ذهن تداعي ميآ*شود در حاليآ*که اشکال بدافزارها روز به روز در حال افزايش است.

تقريبا يکآ*سال پيش بود که شرکت Symantec خبر از ورود نسل جديدي از بدافزارها داد که در اصطلاح Rogue يا مکار ناميده ميآ*شوند.

احتمالا در طي چند سال گذشته با نمونهآ*هايي از بدافزارهايي روآ*بهآ*رو شدهآ*ايد که برخي از خصوصيات بدافزارهاي مکار را داشتهآ*اند اما نام مکار به اين دليل بر اين بدافزارها گذاشته شده که اصليآ*ترين هدف آنآ*ها، فريب دادن کاربران است.

سازندگان اينآ*گونه بدافزارها قصد دارند که با استفاده از روشآ*هاي فريبنده، کاربر را متقاعد به خريد يک محصول امنيتي کنند و در حقيقت به طريقي از قربانيان خود پول دريافت کنند.

اخيرا بدافزاري از اين نوع انتشار يافته است که فعاليتآ*هاي گستردهآ*اي را انجام ميآ*دهد.

اين بدافزار که RogueWin32FakeVimes نامآ*گذاري شده، بدافزاري عجيب است که تقريبا به تمامي بخشآ*هاي سيستمآ*عامل ويندوز آسيب وارد ميآ*کند.


در اولين نگاه، اين بدافزار بسيار هوشمند عمل ميآ*کند.

سيستمآ*عامل ويندوز نسخهآ*هاي گوناگوني دارد و در عين حال هريک از کاربران ويندوز، تنظيمات اختصاصي خود را دارند.

اين بدافزار پس از وارد شدن به رايانه قرباني، نوع سيستمآ*عامل، نوع آنتيآ*ويروس و يا ابزار امنيتي موجود، نوع مرورگر و موتورهاي جستآ*وجوي کاربر را تشخيص ميآ*دهد؛ سپس انبوهي از پيامآ*ها و پنجرهآ*هاي فريبآ*دهنده را به کاربر نشان خواهد داد که بهآ*طور کامل با شرايط موجود سيستم، منطبق بهآ*نظر ميآ*رسد.

بهآ*عنوان مثال اگر از نرمآ*افزار امنيتي مايکروسافت استفاده ميآ*کنيد، انبوهي از پنجرهآ*ها با برچسبي همنام و کاملا شبيه به پنجرهآ*هاي اين ابزار امنيتي پيش روي شما باز خواهد شد.

اين پنجرهآ*ها که از قبل مورد اطمينان کاربر قرار گرفتهآ*اند، حاوي پيغامآ*هايي مبني بر آلوده بودن رايانه هستند و کاربر را به خريد يک بسته امنيتي براي از بين بردن بدافزارها دعوت ميآ*کنند.

در صورتيآ*که کاربر اين پيغام را مانند بسياري از پيغامآ*هاي ديگر امنيتي ناديده بگيرد، حباب ويندوز دقيقا مانند Windows Security Alerts فعال خواهد شد و بارها اين هشدار دروغين نمايش داده ميآ*شود.

RogueWin32FakeVimes به اين حد اکتفا نميآ*کند و سعي ميآ*کند که کاربر را متقاعد به آلوده بودن رايانه کند.

اين بدافزار ميآ*تواند پنجرهآ*هاي دروغين خطاي ويندوز را بهآ*طوريآ*که با پنجره اصلي هيچ تفاوتي ندارد، توليد کرده و نمايش دهد. اين پنجرهآ*ها مانند پنجرهآ*هاي اصلي، حاوي دکمهآ*هاي گزارش خطا و يا شناسايي ايراد است.

در صورتيآ*که روي اين دکمهآ*ها کليک کنيد، اينآ*طور بهآ*نظر ميآ*رسد که مايکروسافت خطا را شناسايي کرده و دليل آنآ*را وجود بدافزار در رايانه تشخيص داده است.

يکي ديگر از فعاليتآ*هاي اين بدافزار، سرقت کدهاي فعالآ*سازي ويندوز است.

برخي از پنجرهآ*هايي که اين بدافزار به کاربران نشانآ*ميآ*دهد، لگوي Windows Genuine Advantage را دربر دارد. اينآ*گونه پنجرهآ*ها به کاربر ميآ*گويند که نسخه ويندوز شما فعال و ثبت نشده و براي اينآ*کار لازم است که کد فعالآ*سازي را از روي ديسک سيستمآ*عامل و يا از زير لپآ*تاپ مشاهده کرده و در پنجره فعالآ*سازي وارد کنيد.

اين پنجره درست مثل پنجره فعالآ*سازي ويندوز و با تمام ويژگيآ*هاي تبليغاتي مايکروسافت نمايش داده ميآ*شود.

معمولا وارد کردن مجدد کد فعالآ*سازي کار پردردسر و يا ناراحتآ*کنندهآ*اي بهآ*نظر نميآ*رسد و بسياري از کاربران در برخورد با اين پنجره، کد فعالآ*سازي سيستمآ*عامل خود را دو دستي تقديم اين بدافزار مکار ميآ*کنند.

نامآ*هاي Security Master AV My Security Engine ،Virus Melt

Malware Catcher 2009

Ultra Antivirus 2009 ،Extra Antivirus

Security Antivirus ،Live PC Care

برخي از نامآ*هايي است که اين بدافزار بهآ*عنوان برچسب پنجره نمايشي خود از آنآ*ها بهرهآ* ميآ*برد.

در پي فريب خوردن بسياري از کاربران سيستمآ*عاملآ*هاي شرکت مايکروسافت از اين بدافزار مکار، اين شرکت بهآ*طور جزئي تمامي پنجرهآ*هاي توليد شده بهآ*وسيله اين بدافزار را به نمايش گذاشته و برخي از تفاوتآ*هاي جزئي آنآ*ها را با پنجرهآ*هاي اصلي ويندوز مشخص کرده است. با مراجعه به آدرس زير ميآ*توانيد اين تصاوير را مشاهده کنيد:

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Rogue:Win32/FakeVimes

پنجرهآ*هاي اخطاري که بهآ*طور روزمره ممکن است با آنآ*ها روآ*بهآ*رو شويد ميآ*توانند از طريق بدافزاري مشابه اين بدافزار توليد شده باشند؛ بنابراين بدون توجه به پيغامآ*ها، روي دکمهآ*هاي اين پنجرهآ*ها کليک نکنيد.