ویروس FakeAlert-SpyPro.gen.ai

ويروسی که همانند گونه های مشابه قبلی، عملکرد “اسب تروا” (Trojan) دارد و البته عبارت Fake Alert  در نام آن نشاندهنده عملکرد آن در نمایش هشدارهای (Alert) جعلی (Fake) می باشد. تازه این پایان ماجرا نیست چون برخی از شیرین کاری ایـن ویـروس بـاعث شده او را در دسته “ترس افزارها” (ScareWare) هم قرار داده و راهش را از گونه های مشابه جدا کنند.
ایـن عملکرد ویـروس به صورت پیغام های هشـدار جعلی پی در پی در هنگام اجرای نرم افزارهای گوناگون می باشد تا بر دلهره و ترس کاربـر بیفزاید. این موجود نامیمون در 21 شهریور سال جاری (1389) مشاهده شده است و به نظر می رسد، دوستان ویروس نویس در روسیه زحمت تولید و انتشار آنرا کشیده اند!

اجرای این ویروس می تواند در هنگام بـازدیـد کاربر از سایت آلوده ای صورت بگیرد که برروی آن کدهایی برای سوءاستفاده (Exploit) از نقاط ضعف مرورگر اینترنت یا سیستم عامل Windows وجود دارد. وقتی دستـگاه کـاربـر مجهز به  آخـریـن اصلاحیه های سیستم عامل و سـایـر نرم افزارها نباشد، بازدید از سایت های مسئله دار کافی است تا سبب آلودگی شود. البته ممکن است شروع آلودگی به این ویروس به شکلهای دیگری هم باشد. مثلاً کاربر آنرا به عنوان نرم افزار مفید یا ابزار قفل شکنی نرم افزارها در سایتی یافته و دریافت و فعال کند یا حتی به شکل پیوست یک نامه آنرا باز کرده و اجرا کند.
با اجرای ویروس، یک هشدار جعلی در کنار ساعت دستگاه نشان داده می شود که در آن ادعا شده که سیستم عامل متوجه یک آلودگی در دستگاه شده است. همانگونه که در شکل زیر دیده می شود.

گرچه تا اینجا فقط یک برنامه کوچک در دستگاه نصب شده که یک نشان (Icon) به System Tray اضافه کرده است، اما اگر کاربر گول پیغام جعلی را خورده و بر روی این هشدار کوچک کلیک کند، ویروس یابی دستگاه شروع شده و سپس فهرستی از آلودگی های موجود برروی آن نمایش می یابد. درهنگام (به اصطلاح) ویـروس یـابی هم بـه هیچـوجـه نمی توان پنجره ویروس یابی را کوچک (Minimize) کرد و از شر آن خلاص شد. چون پنجره به شکلی تعریف شده که همیشه بالاترین پنجره نمایش یافته (Always on top)  باشد. آلودگی های نمایش یافته هم مانند پیغام اولیه، جعلی بوده و در هر صورت (چه دستگاه واقعاً آلوده باشد و چه نباشد) نمایش می یابند. به شکل زیر نگاه کنید.

در اینجا به کاربر توصیه می شود برای رفع مشکل اقدام به خرید نرم افزار پاکسازی این ویروسها کند. در حالیکه کاربر اگر اینکار را بکند در واقع پولش را دور ریخته است! و بجای پاکسازی دستگاهش، درواقع آنرا با یک برنامه ناخواسته جدید دیگر آلوده کرده است.

یکی از حقه های این ویروس در ترجمه وارونه پاسخ های کاربر می باشد. به این شکل که وقتی پنجره هایی برای تایید گرفتن از کاربر نمایش می یابد، حتی اگر کاربر دگمه No را کلیک کند، برنامه آلوده آنرا Yes تفسیر می کند و درواقع به هر شکل ممکن از کاربر برای آلوده ساختن دستگاهش “بله” را می گیرد! به همین دلیل توصیه می شود در چنین مواردی، هیچکدام از کلیدهای Yes و No  را فشار نداده و تنها با کلیک برروی علامت ضربدر (X) گوشه راست بالای پنجره، آنـرا ببندید یـا کلیـد تـرکیبـی Alt+F4 را فشار دهید.

از شیرین کاریهای دیگر این ویروس راه اندازی یک پروکسی (Proxy) برروی دستگاه آلوده است تا کاربر نتواند به برخی از سایتها مراجعه کند و یا پس از مراجعه، به جاهای دیگری هدایت شود. این پروکسی که برروی درگاه (Port) شماره 6092 فعال می شود، با دستکاری در تنظیمات زیر در Registry ایجاد می شود.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings

ویروس FakeAlert-SpyPro.gen.ai برای رسیدن به برخی از مقاصد شوم خود مجبور است یکی از امکانات مرورگر اینترنت (IE) را غیرفعال کند. این گزینه به نام “فیلتر کلاهبرداری” (Phishing Filter) برای اطمینان از جعلی نبودن سایت ها بوده و در نگارش 7 و نگارش 8 مرورگر IE وجود دارد. در صورت غیرفعال بودن این امکان، ویـروس می تواند رایانه را به سایت هایی مشابه برخی از سایت ها واقعی هدایت کرده و کاربر با نگاه به ظاهر سایت و بدون دیدن نشانی دقیق آن، مشغول کار با آن شود. مرورگر هم که قبلاً ساکت شده، هیچ هشداری به کاربر نخواهد داد!
به عنوان مثال کاربر می خواهد در سایت google.com موضوعی را جستجو کند، اما ویروس با استفاده از پروکسی نصب شده، او را به سایتی مشابه سایت google منتقل می کند. کاربر گرچه در سایت جعلی، جستجویش را انجام می دهد اما نتایج دلخواه ویروس نویس برای کاربر نمایش می یابد نه آنچه که با جستجوی واقعی در سایت google باید ببیند. تعداد حملات کلاهبرداری (Phishing) به ویژه برای جعل سایت بانک ها و موسسات اقتصادی بسیار زیاد شده است و با توجه به تحصیل پول از این راه، چندان عجیب نخواهد بود که سرعت بروزرسانی این حملات از سرعت بروزرسانی بیشتر نرم افزارهای ضدویروس و ضدهرزنامه (Anti-Spam) بیشتر باشد. توصیه می شود برای پیشگیری از اینگونه حملات، علاوه بر ضدویروس و ضدهرزنامه، از نرم افزارهایی استفاده شود که سایت های موجود در دنیا را زیر نظـر گـرفته و آنها را از جهت خطرات کلاهبـرداری رصد می کننـد. یکی از پرطرفدارترین ایـن نـرم افزارها،  McAfee SiteAdvisor می باشد که می تواند در محیط شبکه از طریق ابزار مدیریتی McAfee ePolicy توزیع و مدیریت گردد.

این ویروس برای ایجاد دلهره در کاربر، بـا اجرای هر برنامه ای، ادعا می کند که فایل اجرایی آن آلوده است و پیشنـهاد فـروش فـوری نـرم افـزار ضـدویـروس کـذایی را می دهـد. بـه همین دلیل ایـن ویـروس را در دستـه “تـرس افـزارها” (ScareWare) نیـز قـرار داده اند.

نکته ای که کاربران باید به آن توجه داشته باشند آن است که حتی اگر تمام امکانات امنیتی را بر روی دستگاه فعال کرده اید، بازهم از ماجراجویی بپرهیزید و به سایت هایی که نمی شناسید، سرک نکشید. البته طبیعتاً بروز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و پرهيز از بکارگيری رمزهای ضعيف، برای پیشگیری از آلودگی بسیار موثر خواهند بود.
استفـاده از تنظيمات تـوصيه شده توسط كارشناسان شبکه گستر در بخش Access Protection ضدويروس McAfee تا حدود زیادی می تواند از آلودگی به این ویروس و گونه های مشابه آن جلوگیری کند.
فایلهای اطلاعاتی ضدويروس McAfee با حداقل نگارش DAT6106 قادر به شناسایی این ویروس هستند.