ابزار تقلبی بازیابی ویندوز اکس‌پی (Windows XP Recovery)

ما ایمیل آلوده‌ی زیر را آنالیز کردیم. طبق معمول ادعا می‌کند که از شرکت معتبر حمل بار جهانی DHL می‌باشد.

به همراه این ایمیل یک فایل فشرده zip الصاق شده که شامل یک بدافزار می‌باشد.
کاربر با استخراج محتویات این فایل فشرده یک فایل قابل اجرا با آیکن pdf دریافت می‌کند.

اگر این فایل را اجرا کنید، از سایت “http://9X.6X.9.15/f/g.php” یک اسکریپت را اجرا کرده و شروع به دانلود فایل ابزار جعلی از مسیر “http://6X.9X.116.16/pusk3.exe” می‌کند.

پس از تکمیل فرایند دانلود، فایل موبوطه بر روی رایانه‌ی آلوده اجرا شده و به عنوان ابزار جعلی “بازیابی ویندوز اکس‌پی” شروع به فعالیت می‌کند.
این برنامه همه‌ی آیتم‌های موجود در دسکتاپ کاربران را مخفی می‌کند. همچنین به صورت مداوم شروع به نمایش پیغام خطای دروغین “Hard Drive Failure” (خرابی در درایو هارد) می‌کند. این ابزار تقلبی به صورت زیر می‌باشد:

کوییک‌هیل این فایل مخرب را با عنوان “TrojanDownloader.Dapato.dt” شناسایی می‌کند و موجب حفاظت پیشگیرانه کاربران می‌شود.ما همواره به کابران توصیه می‌کنیم که پیوست‌های (attachment) ایمیل‌های ناشناخته را باز نکنند.

نویسنده: Pravesh – وبلاگ امنیتی