Talo تخمین زده است که نزدیک به 12 میلیون کاربر ابزارهای Tuto24 را دانلود کردهاند. کارشناسان امنیتی در این باره گفتهاند که زمانیکه کاربران یکی از این ابزارها را دانلود و نصب میکنند، این نرمافزارها همانند بدافزارها عمل کرده و تروجانی به نام Wizz نصب میکنند. کارشناسان Talos در وبلاگ این شرکت نوشتهاند: «زمانی که Wizz با مجوزهای مدیریتی نصب میشود، به نصب و اجرای یک فایل اجرایی میپردازد. زمانیکه اطلاعات شخصی کاربر استخراج شد، این فایل اجرایی اطلاعات جمعآوریشده را برای مرکز فرماندهی (C&C) خود ارسال میکند.» کریگ ویلیامز، مدیر ارشد فنی Talos در این خصوص گفته است: «اندازه Wizz روبهافزایش است. همین موضوع باعث شده است شناسایی آن توسط نرمافزارهای امنیتی امکانپذیر نباشد. همچنین به دلیل متغیر بودن اندازه آن، امکان تحلیل عملکرد این نرمافزار و اینکه چگونه کار میکند، وجود ندارد. تحقیقات بیشتری که روی این نرمافزار انجام دادهایم، ما را نگران کرده است. کارشناسان ما با استفاده از تکنیک جعبه شنی (Sandbox) سعی کردند کدهای Wizz را بررسی کنند. تحقیقات نشان میدهد که این نرمافزار در حال حاضر در مرحله نهان قرار دارد.»
اما موضوعی که باعث شد کارشناسان امنیتی به این نرمافزار مشکوک شوند، به عملکرد آن بازمیگردد. زمانی که Wizz روی سیستمی نصب میشود، به دنبال ضدبدافزارها و برنامههای امنیتی همچون نرمافزارهای شناساییکننده ردپای بدافزارها میگردد. در کنار این تلاش برای شناسایی، نصب بیسروصدای این نرمافزار و نپرسیدن از کاربر در خصوص نصب، شک کارشناسان امنیتی را بیش از پیش برانگیخته است. گروه Talos در گزارش خود آورده است: «این نرمافزار باید در گروه نرمافزارهای در پشتی طبقهبندی شود. تحلیل ما نشان میدهد که Wizz نرمافزار بالقوه ناخواسته PUP، سرنام Potentially Unwanted Programs، است. اما در مقایسه با عملکرد بدافزارهای رایج، فراتر از آنها رفتار میکند. بررسیهای ما نشان میدهد که شرکت Tuto24c در خلال سالهای 2012، 2013 و 2015 به دلیل نصب نرمافزارهای ناشناخته و تلاش برای نصب نرمافزارهای تبلیغاتی و جاسوسی بازخواست شده است.»
به نظر میرسد این شرکت هیچ درس عبرتی از گذشته نگرفته و همچنان در تلاش است تا به دور از دید چشم جامعه امنیتی اقدام به نصب نرمافزارهای مشکوک روی سیستم کاربران کند.
وارن مرکر، از مدیران فنی Talos در این باره گفته است: «به نظر میرسد این شرکت هیچ درس عبرتی از گذشته نگرفته و همچنان در تلاش است تا به دور از دید چشم جامعه امنیتی اقدام به نصب نرمافزارهای مشکوک روی سیستم کاربران کند. کارشناسان ما با شنود و رصد ارتباط میان بخش مدیریت دستور و کنترل این نرمافزار، موفق شدند رابطه میان Tuto24Pc و Wizz را کشف کنند. Tutop4Pc از متغیرهای رمزنگاری برای اجرای SSL استفاده میکند. تحقیقات نشان میدهد که Tuto24Pc و Wizz واسطههایی هستند که برای اجرای بدافزارهای تبلیغاتی، جاسوسافزارها و bloatware استفاده میشوند. در نتیجه این نرمافزارها ارتباط تنگاتنگی با یکدیگر دارند و میلیونها کامپیوتر شخصی را بدون اطلاع دارندگان آنها آلوده ساختهاند. در حالی که شرکت Tuto24PC زمان زیادی را برای گذر از سندباکس و مکانیزمهای امنیتی سپری کردهاند، اما در مقابل برای رمزنگاری ارتباطات خود تلاش خاصی انجام ندادهاند و تنها از روی دستورالعمل رمزنگاری ارائهشده در سایت MSDN کپیبرداری کردهاند.» گزارشها نشان میدهند که Tuto24Pc از 55 دامنه مختلف برای عملیات جاسوسی و تعامل با بدافزارهای تبلیغاتی استفاده میکند. این دامنهها عمدتاً برای توزیع فایلهای اجرایی Wiz.exe استفاده شدهاند. بررسیهای انجامشده از سوی Talos نشان میدهد که هر یک از این دامنهها از نامهای متفاوتی همچون Free Gamer، PC Clean و Offer استفاده میکنند. کاملاً روشن است که این چنین دامنههایی با هدف فریب کاربران طراحی شدهاند و در نهایت برای دانلود بیش از پیش تروجان توسط کاربران استفاده میشوند. برای کسب اطلاعات بیشتر به اینجا مراجعـــــه کنید .
==============================
شاید به این مقالات هم علاقمند باشید:
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟