اینبار سیمرغ کاربران ایرانی را هدف گرفته
در حالی که خبرگزاری ها سخت مشغول پوشش اخبار مربوط به بدافزار جدید SkyWiper/Flame هستند بدافزار خطرناک دیگری که مورد کم توجهی رسانه ها واقع شده کاربران ایرانی را هدف قرار داده است. کد آلوده این بدافزار در یک نرم افزار پروکسی (سیمرغ سبز) که عمدتاً توسط کاربران ایرانی و سوریه ای استفاده می شود، جاسازی شده است. سایتی رسمی این نرم افزار نیز چند روز قبل به کاربران در خصوص احتمال آلوده بودن نسخه هایی که در سایت های دیگر به اشتراک گذاشته شده اند، هشدار داد.
نرم افزار آلوده بر خلاف نسخه سالم و اصلی برای اجرا، نیاز به نصب شدن بر روی سیستم دارد. کاربرانی که از موتورهای جستجوگر برای یافتن این فایل استفاده می کنند در خطر آلوده شدن به این بدافزار قرار دارند. زیرا بسیاری از نتایج ردیف های نخست در این جستجوگرها، کاربران را به سایت های مخرب هدایت کرده و نرم افزار آلوده را در اختیار آنان می گذارند.
در هنگان استفاده از نسخه آلوده، کاربر ابتدا با صفحه نصب زیر روبرو خواهد شد.
با نصب نسخه آلوده تمامی فعالیتهای کاربر توسط بدافزار رصد می شود و نامهای کاربری، نام دستگاه و کلیدهای زده شده توسط کاربر همگی توسط بدافزار ثبت می گردند. این بدافزار در ادامه می کوشد تا اطلاعات جمع آوری شده را به سرورهایی که در ایالات متحده قرار دارند – و در عربستان سعودی ثبت شده اند – ارسال کند.
خوشبختانه یکی از اولین کارهایی که نرم افزار (چه سالم و چه آلوده) انجام می دهد اتصال به یک صفحه اینترنتی و نمایش نشانی IP دستگاه و تایید اجرای موفقیت آمیز پروکسی می باشد. گروه توسعه دهنده نرم افزار نیز راهی برای اطلاع رسانی به کاربرانی که از نسخه غیر اصل استفاده می کنند یافته است و در صفحه اینترنتی ظاهر شده به کاربر در مورد احتمال آلوده بودن هشدار می دهد.
یکی از روشهای رایجی که ویروس نویسان برای انتشار بدافزارها، به خصوص اسب های تروا، استفاده می کنند قرار دادن بدافزار بر روی سایت های به اشتراک گذاری فایل است. همچنین مخفی کردن کد آلوده در این برنامه ها شیوه ای است که در طول چند سال گذشته توسط ویروس نویسان به کرات استفاده شده است.
دریافت فایلهای اجرایی از سایتهای ناشناس به خصوص سایت های به اشتراک گذاری فایل همچون Torrent روشی امن محسوب نمی شود.
متأسفانه برخی کاربران و حتی بعضی از مدیران شبکه بی توجه به هشدارهای ضدویروس تنها به صرف مورد نیاز بودن یک فایل (مثلاً KeyGenها) ضدویروس را بطور موقت غیرفعال و یا فایل آلوده را از کنترل ضدویروس خارج کرده و آنرا مستثنی می کنند. با وجود بدافزارهای پیچیده ای همچون ZeroAccess غیرفعال بودن ضدویروس تنها برای چند لحظه کافی است تا بدافزار کنترل کامل سیستم را در دست بگیرد.
به روز نگهداشتن ضدویروس، استفاده از دیواره های آتش برای بستن درگاه های غیرضروری و محدود کردن حق دسترسی کاربران عادی، می توانند شبکه را در مقابل اینگونه بدافزارها ایمن نگه دارند.
همچنین مشترکین ضدویروسهای McAfee و Bitdefender می توانند در صورت مشاهده هر گونه فایل مشکوک آن را برای بررسی بیشتر از طریق نشانی help@shabakeh.net و یا سامانه پشتیبان به بخش پشتیبانی شرکت مهندسی شبکه گستر ارسال کنند.
