جنایتکاران سایبری با استفاده از فایلهای "کمک ویندوز" کاربران را فریب داده و رایانه شخصی آنان را به بدافزار آلوده می کنند.
بدافزارپردازان می توانند فایلهای .HLP بسازند که برای آلوده کردن رایانه شما طراحی شده اند. برای مثال در اواخر ماه آگوست، یک فایل .HLP از سوی کاربران سوفوس به آزمایشگاه مجازی آنها ارسال شده بود.
فایل Amministrazione.hlp (کلمه "Amministrazione" برگردان ایتالیایی "Administration" است) مثالی از چگونگی استفاده جنایتکاران سایبری از مهندسی اجتماعی در فریب کاربران بی گناه برای آلوده کردن رایانه شخصیشان به بدافزارهای اینچنینی است.
جزئیاتی از فایل HLP مخربHelp could not read the current Help
file.
Make sure there are no errors on the
disk, or if the file is on a network drive, that the server is active (163
منوی کمک ویندوز نمی تواند این فایل کمک را باز کند. لطفا مطمئن شوید که هیچ خطایی در دیسک نیست و یا اگر این فایل در درایو شبکه است، از فعال بودن سرور اطمینان حاصل کنید. (163)
در پشت پرده یک فایل با نام Windows Security Center.exe بر روی رایانه شما رها می شود که پشت سر هم فایلی بانام RECYCLER.DLL ایجاد می کند.
فایلهایی که به وسیله فایل HLP مخرب ساخته می شوند:
تشخیص کلی |
تشخیص اولیه |
|
||||||||||||
Amministrazione.hlp |
||||||||||||||
Windows Security Center.exe |
||||||||||||||
RECYCLER.DLL |
قسمت DLL این حمله بدافزاری یک Keylogger است و قسمتی از تروجان DarkShell است که با پروژه GhostNet مرتبط است. Keylogger ضرباتی را که کاربر به صفحه کلید خود وارد می کند در آدرس زیر ذخیره می کند:
\Documents and Settings\username\Local Settings\Application Data\UserData.dat
(در آدرس بالا نام کاربری (username) یک نام کاربری مختص هر فرد است)
بدافزار یادشده سعی می کند که داده های جمع شده را به images.zyns.com که دامینی پر از بدافزارهای متفاوت است، بفرستد. با این وجود خیالتان آسوده باشد؛ فقط به خاطر داشته باشید که بلافاصله بر روی فایلهای .HLP کلید نکنید، زیرا ممکن است که یک حمله بدافزاری در پس آن باشد.