Gerdab.IR | گرداب

گرداب/ فایل کمک ویندوز راهی برای ورود بدافزارپردازان

تاریخ انتشار : ۲۳ شهريور ۱۳۹۱

جنایتکاران سایبری با استفاده از فایلهای "کمک ویندوز" کاربران را فریب داده و رایانه شخصی آنان را به بدافزار آلوده می کنند.

به گزارش گرداب به نقل از سوفوس، آیا شما فکر می کنید فایل کمک (Help) ویندوز امن است؟ دوباره خوب دقت کنید: "فایل کمک ویندوز".

بدافزارپردازان می ­توانند فایل­های .HLP بسازند که برای آلوده کردن رایانه شما طراحی شده اند. برای مثال در اواخر ماه آگوست، یک فایل .HLP از سوی کاربران سوفوس به آزمایشگاه مجازی آنها ارسال شده بود.

فایل Amministrazione.hlp (کلمه "Amministrazione" برگردان ایتالیایی "Administration" است) مثالی از چگونگی استفاده جنایتکاران سایبری از مهندسی اجتماعی در فریب کاربران بی­ گناه برای آلوده کردن رایانه شخصیشان به بدافزارهای اینچنینی است.

جزئیاتی از فایل HLP مخرب
اگر این فایل باز شود یک پیغام خطا به صورت زیر نمایش می دهد:

Help could not read the current Help file.
Make sure there are no errors on the disk, or if the file is on a network drive, that the server is active  (163

منوی کمک ویندوز نمی ­تواند این فایل کمک را باز کند. لطفا مطمئن شوید که هیچ خطایی در دیسک نیست و یا اگر این فایل در درایو شبکه است، از فعال بودن سرور اطمینان حاصل کنید. (163)

در پشت پرده یک فایل با نام Windows Security Center.exe بر روی رایانه شما رها می شود که پشت سر هم فایلی بانام RECYCLER.DLL ایجاد می ­کند.

فایل­هایی که به وسیله فایل HLP مخرب ساخته می­ شوند:

تشخیص کلی

تشخیص اولیه

نام فایل












Mal/HlpDrop-A

Troj/HlpDrp-B

Amministrazione.hlp

Mal/DarkDrp-A

Troj/DarkDrp-A

Windows Security Center.exe

Mal/DarkShell-AMal/DarkShell-A

Troj/Agent-OVJ

RECYCLER.DLL

قسمت DLL این حمله بدافزاری یک Keylogger است و قسمتی از تروجان DarkShell است که با پروژه GhostNet مرتبط است. Keylogger ضرباتی را که کاربر به صفحه کلید خود وارد می ­کند در آدرس زیر ذخیره می­ کند:

\Documents and Settings\username\Local Settings\Application Data\UserData.dat

(در آدرس بالا نام کاربری (username) یک نام کاربری مختص هر فرد است)

بدافزار یادشده سعی می­ کند که داده­ های جمع شده را به images.zyns.com که دامینی پر از بدافزارهای متفاوت است، بفرستد. با این وجود خیالتان آسوده باشد؛ فقط به خاطر داشته باشید که بلافاصله بر روی فایلهای .HLP کلید نکنید، زیرا ممکن است که یک حمله بدافزاری در پس آن باشد.