مراقب بدافزار خطرناک ویندوز در فایل‌های Microsoft Help باشید

توضیحات: میثاق مکارمی; دسته: اخبار امنیت; 07 فروردين 1401 16:30

به تازگی یک بدافزار به نام Vidar در سیستم‌عامل ویندوز در حال گسترش است که در فایل‌هایی با پسوند .CHM یافت می‌شود؛ فایل‌هایی که به پوشه‌های Microsoft Help مربوط می‌شوند.

کارشناسان امنیتی Trustwave زنگ خطر را به صدا درآورده‌اند و اظهار دارند موج جدیدی از Vidar، یک بدافزار معروف و به‌ویژه مخرب، در جریان است. اما جالب اینجاست که این بدافزار به جای پنهان شدن در یک فایل اجرایی، این بار در فایل راهنمای مایکروسافت پنهان می‌شود.

این بدافزار از طریق هرزنامه‌های رایجی که در پست الکترونیکی خود دریافت می‌کنید پخش می‌شود. پیام مذکور حاوی لینکی است که فرستنده شما را تشویق می‌کند آن را با این کلمات باز کنید: «این اطلاعات مهم برای شماست. لطفاً پیوست این ایمیل را ببینید - This important information is for you. Please see the attachment to this email» و اینجاست که بدافزار وارد عمل می‌شود.

بدافزار Vidar برای اینکه حتی بهتر خود را از چشم قربانیانش پنهان کند، در یک فایل .DOC به نام «REQUEST.DOC» پنهان می‌شود. اما نباید فریب پسوند آن را خورد، چراکه این فایل در واقع یک فایل ISO است. در داخل آن، یک فایل HTML وجود دارد که با فرمت CHM کامپایل شده است که به طور کلی «PSS10R.CHM» نامیده می‌شود. علاوه بر این، همچنان درون ISO یک فایل اجرایی به نام «APP.EXE» وجود دارد.

هنگامی که فایل CHM یا فایل اجرایی باز شد، یک کد کوچک جاوا اسکریپت اجرا می‌شود. بدافزار Vidar سپس می‌تواند اعمال مخرب خود را عملی کند. این بدافزار پوشه خود را در C:\ProgramData ایجاد کرده و داده‌های جمع‌آوری شده را به سرور ارسال می‌کند.

در صورت لزوم، Vidar می‌تواند یک فایل اجرایی دیگر - بهتر است بگوییم یک بدافزار دیگر – را هم دانلود کند. پس از انجام این کار، بدافزار ردپای خود را در پوشه ProgramData پاک کرده و DLL های ایجاد شده برای این فرآیند را حذف می‌کند.

Vidar قادر به بازیابی اطلاعات سیستم عامل و همچنین همه اطلاعات کاربر است. این برنامه مخرب همچنین می‌تواند تمام داده‌های پرداخت (کارت اعتباری، خدمات پرداخت آنلاین و غیره) را به سرقت ببرد؛ حتی ممکن است اطلاعاتی را بدزدد که به او اجازه می‌دهد خود را در یک سرویس ارز دیجیتال احراز هویت کند.

اولین ظهور بدافزار Vidar به سال 2018 برمی‌گردد. این نرم افزار منشأ روسی دارد. اما چرا چنین فرضی از سوی کارشناسان امنیتی که ویدار را کشف کردند وجود دارد؟ چون هنگامی که این بدافزار بر روی دستگاهی واقع در روسیه نصب شود، یا صفحه کلید رایانه شخصی آلوده دارای صفحه کلید روسی باشد، بلافاصله عملیات مخرب خود را متوقف می‌کند!

طبق معمول، به شما توصیه می‌کنیم هرگز لینکی را از فرستنده ناشناس باز نکنید. در مرحله دوم، این پیوست را با استفاده از یک آنتی ویروس، اسکن کنید.