دیگر به چشمانمان هم نمی‎توانیم اعتماد کنیم!

هفته گذشته خبری در خصوص سوءاستفاده از Unicode برای مخفی کردن فایل اجرایی برنامه‎های مخرب در این وبلاگ منتشر شد. تنها یک روز پس از آن، نمونه ویروسی که از این روش برای انتشار خود استفاده می‎کند توسط یکی از مشترکین شرکت مهندسی شبکه گستر، به دست بخش پشتیبانی رسید و این به معنای آغاز انتشار اینگونه ویروس‎ها در ایران است. این موضوع بهانه‎ای شد تا یکبار دیگر این روش را مورد بحث و بررسی قرار دهیم.

پسوند فایل می‎تواند نقش مهمی در فریب و تشویق کاربر به اجرای آن داشته باشد. روش رایج کنونی برای فریب کاربران، استفاده از نشان (icon) یک فایل غیراجرایی نظیر Doc و تغییر نام آن به something.doc.exe است. با توجه اینکه بصورت پیش فرض، سیستم عامل پسوند فایل‎ها را نمایش نمی‎دهد، کاربرانی که از تنظیمات پیش فرض استفاده می‎کنند این فایل را بصورت something.doc می‎بینند. از آنجا که نشان فایل هم مشابه فایل‎های نرم‎افزار Word است، کاربر مطمئن می‎شود که این فایل هر چه که باشد، اجرایی نیست! و این دقیقاً همان چیزی است که ویروس‎نویس به دنبال آن است. اما این روش چندان برای فریب کاربران حرفه‎ای مناسب نبوده و نیست.

برگردیم به سراغ روش جدید. نمونه دریافتی ما Invoices_N83235_0912_Collexe.doc نام داشت و در زمان غیرفعال بودن گزینه “Hide extensions for known file types” در سیستم عامل، پسوند فایل به صورت doc نمایش داده می‎شد.

بررسی فایل با ابزارهای امنیتی نشان داد که نام واقعی فایل Invoices_N83235_0912_Coll [U+202E]cod.exe است.

[U+202E] همانطور که در خبر هفته گذشته اشاره شد، نمادها (Character) را بصورت راست به چپ نمایش می‎دهد و در نتیجه آنچه که کاربر می‎بیند exe.doc است. اما زمانی که فایل اجرا می‎شود، سیستم عامل با آن همانند یک فایل اجرایی رفتار می‎کند و در صورت به روز نبودن ضدویروس، دستگاه آلوده می‎شود. این فایل نمونه حاوی ویروسی از نوع “دریافت کننده فایل” (Downloader) است که درگاه‎هایی را برای ارتباط با نفوذگر باز و فرمان‎ها را از سرویس‎دهنده‎های مخرب دریافت می‎کند. توضیح آنکه ضدویروس McAfee نمونه مورد بررسی را با عنوان Generic.tfr!m شناسایی می‎کند.

اینگونه ویروس‎ها اغلب از طریق نامه‎های الکترونیکی ارسال می‎شوند که هرزنامه (spam) بودن آنها به آسانی قابل تشخیص است. اما این روش می‎تواند نقطه عطفی برای ویروس‎نویسان هم باشد. دور از انتظار نیست که گونه‎های جدید بسیاری از ویروس‎ها از این روش برای فریب کاربران و انتشار خود استفاده کنند.

رعایت نکات زیر می‎تواند نقش مهمی در پیشگیری از آلوده شدن به اینگونه ویروس‎ها داشته باشد:

• ضدویروس خود را همیشه به روز نگه دارید.
• در صورت استفاده از سیستم پست الکترونیکی در سازمان خودتان، حتماً مطمئن شوید که ابزارهای ضدهرزنامه (Anti Spam) بر روی سرویس‎دهنده پست الکترونیکی نصب شده است.
• از باز کردن پیوست نامه‎های ناآشنا جداً خودداری کنید. همانطور که ذکر شد، با استفاده از این روش فریبکارانه، فایل اجرایی می‎تواند بصورت یک فایل متنی بی‎خطر نمایش داده شود. اگر ناچار به باز کردن فایل پیوست هستید موارد زیر را در نظر بگیرید:
• اگر در 3 یا 4 کاراکتر پایانی نام فایل، عبارت‎هایی مانند exe، tab و یا moc وجود دارد، احتمال استفاده از این روش فریبکارانه وجود دارد و این عبارات‎ها می‎توانند نشان‏دهنده پسوند و نوع واقعی فایل باشند. پس اگر یکی از این عبارت‏ها را دیدید از خیر اجرا کردن آن فایل بگذرید.
• سرآیند (header) فایل‎های اجرایی براساس سیستم 16تایی، 4D5A و در سیستم ASCII، MZ است. با باز کردن اینگونه فایل‎ها در ویرایشگر (editor)های HEX و یا حتی Notepad می‎توان عبارت MZ را مشاهده کرد.

به خاطر داشته باشید که در هر زمان می‎توانید فایل‏های مشکوک را برای بررسی بیشتر و دقیق‏تر به http://help.shabakeh.net ارسال کنید.