روش جدید برای پنهان کردن بدافزارها

به تازگی روش جدیدی برای تغییر شکل پسوند فایل‎های مخرب و فریب کاربران ابداع شده است. این روش جدید که از سوی بعضی شرکت‎های امنیتی “Unitrix” نامگذاری شده است با سوءاستفاده از امکان Unicode برای زبان‎های راست به چپ، نظیر فارسی و عربی، سبب می‌شود که بدون تغییر در ماهیت فایل، پسوند بدافزار به صورت Doc، JPG و یا دیگر پسوندهای غیراجرایی نمایش داده شود.

Unicode استانداردی برای نمایش نمادهای تمامی رسم‌الخط‌های دنیاست. یکی از کدهای تعریف شده در این استاندارد U+202E است که امکان تغییر جهت متن از “چپ به راست” نوشته شده را به متن از “راست به چپ”، می‌دهد. به این روش، نفوذگر می‌تواند فایل مخربی را که برای مثال به cod.exe ختم می‌شود بصورت یک فایل متنی exe.doc نمایش دهد. کاربر نیز با فرض اینکه فایل در نرم‎افزار Word باز خواهد شد، بر روی آن کلیک می‎کند. اگر در این حالت، ضدویروس هشداری نشان ندهد، دستگاه یقیناً آلوده خواهد شد.

بدافزاری که در طول ماه گذشته بیشترین استفاده را از این روش برای انتشار خود کرده است یک “دریافت کننده فایل” (Downloader) است که درگاهی را برای ارتباط با نفوذگر باز و فرمان‎هایی را از سرویس‌دهنده‌هایی که در روسیه، چین و ایالات متحده قرار دارند، دریافت می‌کند.

تشخیص روش Unitrix می‎تواند برای کاربر بسیار دشوار و خسته کننده باشد. نرم‎افزارهای جدیدی مانند Office 2010 فایل‎های دریافت (download) شده را در محیط قرنطینه شده (Sandbox) باز می‌کند تا در صورت مخرب بودن آن، آلودگی و اثرات سوء فایل، تمام سیستم عامل و دستگاه را تحت تاثیر قرار ندهد. همچنین مرورگر Internet Explorer دارای امکان محافظتی تحت عنوان Application Reputation است که بنا به پیشینه فایل، ممکن است به کاربر هشداری بدهد. اما مطمئن‌ترین راه برای پیشگیری و گرفتار نشدن به اینگونه بدافزارها، باز نکردن فایل‎های ناآشنا و مشکوک است. اما در صورت لزوم، این فایل‎های مشکوک و ناآشنا باید در محیط‎های جدا شده از شبکه اصلی (Isolated) و یا محیط‎های Virtual باز شوند.