کالبدشکافی یک اسب تروای فیس‌بوکی

آرش کمانگیر

اندازه حروف

۱۱/مرداد/۱۳۹۳ گیک آباد

رفیقم از یکی از آشنایانش پیامی به این مضمون گرفته است “Hey [name]. Is that you in that video??https://goo.gl/8XDHON”. کمی بعد، آشنا برایش پیغام داده‌است که «دوستان لینک را باز نکنید. یک ویروس است. از طرف من نیست».

دیروقت عصر از رفیقی پیغام گرفتم. نگران بود که لینک آلوده‌ای را باز کرده‌است و ممکن است کامپیوترش آلوده شده باشد. از او خواستم که لینک مشکوک را برایم بفرستد.

روی لینک‌های موجود در این مطلب کلیک نکنید مگر این‌که دقیقا بدانید که چطور از خودتان محافظت کنید. این لینک‌ها آلوده هستند.

رفیقم از یکی از آشنایانش پیامی به این مضمون گرفته است “Hey [name]. Is that you in that video??https://goo.gl/8XDHON”. کمی بعد، آشنا برایش پیغام داده‌است که «دوستان لینک را باز نکنید. یک ویروس است. از طرف من نیست». در پیغام آلوده، عناصر مهندسی اجتماعی لحاظ شده است: بخشی که با [name] جایگزین کرده‌ام، چند حرف اول اسم گیرنده‌ی پیغام است. علاوه بر این، پیغام ادعا می‌کند که گیرنده در ویدیویی دیده می‌شود. قابل تصور است که که واکنش سریع به این پیغام، کلیک کردن روی لینک است. و این همان کاری است که رفیق من انجام داده بود.

با کلیک کردن روی لینک، بعد از چند بار redirect شدن، به صفحه‌ای با ظاهری آشنا می‌رسیم که تصویری از آن بالای این مطلب دیده می‌شود. این صفحه شبیه یوتیوب است و علاوه بر آن عنوانی تحریک کننده دارد: “Katy Perry Gets Dirty!”. کمی دقت نشان می‌دهد که محتوای این صفحه یک ویدیو نیست، و تنها عکسی از ظاهر ویدیوهای یوتیوب است که به صفحه‌ی دیگری لینک شده است. با کلیک روی عکس، پیغامی با این مضمون پدیدار می‌شود “You need to download and install Adobe Flash Player to display this content!”. همین‌جا باید علامت خطر برایمان واضح باشد: برای تماشای یک ویدیو نباید مجبور باشیم فایلی را روی لپ‌تاپ دانلود کنیم. علاوه بر این، آدرس این سایت، http://feidowns.com/video/watch.php?videoid=496913، ناآشنا است.

به وب‌سایت اجازه می‌دهم که فایل را روی سیستم من دانلود کند. اسم فایل install_flashplayers86x64_msd_aaa_aih.exe است و به‌محض این‌که دانلود آن کامل می‌شود، آنتی ویروس فعال می‌شود و خبر می‌دهد که یک اسب تروا پیدا کرده است. سال‌هاست از Avira استفاده می‌کنم که نسخه‌ی مجانی آن را می‌توان از وب‌سایت اصلی آن گرفت. بدافزاری که در فایل پیدا شده است TR/Dropper.Gen8 نام دارد و یک اسب تروای Dropper است. چنین بدافزاری درواقع می‌خواهد دروازه‌ی ورودی به سیستم من باشد و صدمه‌ی اصلی توسط فایل‌هایی که این بدافزار دانلود و نصب خواهد کرد انجام داده خواهد شد. آنتی ویروس می‌خواهد فایل آلوده را قرنطینه کند، که اجازه‌ی این کار را می‌دهم. بعد از این کار، آنتی‌ویروس می‌خواهد سیستم را اسکن کامل کند، که باز هم اجازه‌ی آن را می‌دهم.

نکته‌ی مهم در این اتفاق این بود که چراغ‌های خطر باید از ابتدا روشن می‌شدند. در قدم اول، لینکی که فرستاده شده بود توسط سرویس کوتاه‌کننده‌ی لینک گوگل goo.gl ساخته شده بود (دقت کنید که نشانی اصلی با https://goo.gl شروع می‌شود). لینک‌های کوتاه شده امکان دیدن منبع اصلی را به ما نمی‌دهند و از این نظر می‌توانند به خطر منتهی شوند. اگر می‌خواهید محتاط‌تر باشید، در مواجهه با یک لینک کوتاه شده از سرویس‌هایی مانند knownURL برای تبدیل لینک به اصل آن استفاده کنید. در قدم دوم، وبسایتی که لینک به آن منتهی می‌شود ناآشنا است و ظاهری مشکوک دارد. پیغام خطا و تلاش برای دانلود کردن فایل اجرایی روی لپ‌تاپ، چراغ‌های خطر دیگر در این اتفاق هستند. علاوه بر این‌همه، پیغام ادعا می‌کرد که گیرنده در ویدیویی دیده می‌شود، درحالیکه عنوان ویدیو حرف دیگری می‌زد.

نکته‌ی مهم این است که در مواجهه با چنین اتفاقی باید محتاط بود، اما نگرانی بیش از اندازه منطقی ندارد. اگر روی لپ‌تاپ‌تان یک آنتی‌ویروس به‌روز دارید، صرفا با رعایت نکات ساده‌ی امنیتی می‌توانید خود را امن نگه دارید (این مطلب را هم بخوانید: من از آنتی‌ویروس استفاده نمی‌کنم، آیا من دیوانه‌ام؟).