بهروزرسانیهای جعلی کروم و فلش
یک بهروزرسانی جعلی برای گوگل کروم و یک بهروزرسانی جعلی برای media player کشف شده است.
به گزارش پارس به نقل از ایسنا، به نظر می رسد این بدافزارها طوری طراحی شده اند که کاملاً معتبر هستند.
هر دو به روزرسانی مذکور توسط گواهینامه های معتبر امضای کد VeriSign امضا شده اند. این مسأله بی سابقه نیست، اما استفاده بدافزار نویسان از گواهینامه های ارائه دهنده گران قیمتی مانند VeriSign غیرمعمول است. سرویس های احراز هویت VeriSign اکنون بخشی از سایمانتک است.
این به روزرسانی جعلی کروم از لوگویی مشابه کروم واقعی استفاده می کند، ولی به راحتی از لوگوی اصلی قابل تشخیص است. صفحه مربوطه به درستی نسخه کروم در حال اجرا برروی سیستم قربانی را شناسایی می کند و پیغامی مبنی بر احتمال به روز نبودن مرورگر کروم به کاربر نمایش می دهد.
نام فایل مزبور Chrome_Security_Plugin_Setup. exe و حجم آن ۱.۷۴ مگابایت است. اطلاعات فایل آن را تحت عنوان Express Install نسخه ۳.۷. ۱.۰ معرفی می کند. منتشر کننده این فایل نیز در گواهینامه امضای VeriSign به نام TINY INSTALLER ثبت شده است.
به گزارش VirusTotal در صبح جمعه، پنج محصول از کل ۴۸ محصولی که این مجموعه با آن کار می کند، این فایل را شناسایی کرده اند. Fortinet و ESET آن را تحت عنوان W۳۲/Kryptik می شناسند.
به روزرسانی جعلی ادوب اندکی ناواضح بوده و به کاربر پیغامی مبنی بر لزوم به روزرسانی Media Player می دهد، اما ظاهری شبیه به به روزرسانی های ادوب دارد.
بنا بر اعلام مرکز ماهر، نام فایل Flash Player ۱۲. exe بوده و حجم آن ۸۱۴ کیلوبایت است. منتشر کننده این فایل در هدر و همچنین در گواهینامه امضای VeriSign تحت عنوان Air Software معرفی شده و نام محصول نیز Adobe Flash Player نسخه ۲.۰. ۴.۵۴ است. ۹ شرکت از ۴۸ شرکت آنتی ویروس که VirusTotal با آنها کار می کند، این فایل را اغلب به عنوان تبلیغ افزار شناسایی کرده اند.
ارسال نظر