کمیته رکن چهارم – یک تبلیغ افزار شناخته شده با استفاده از یک ویژگی ویندوز که برای امنیت طراحی شده است مانع نصب محصولات آنتی ویروس بر روی سیستم کاربران می شود.
به گزارش کمیته رکن چهارم،این برنامه که Vonteera نامیده شده است، از عملکرد بررسی امضای دیجیتال توسط کنترل دسترسی کاربر ویندوز (UAC) برای فایل های اجرایی، سوء استفاده می کند.
UAC قبل از اجرای فایل های exe از کاربر تاییده می گیرد. این امر باعث می شود تا بدافزارها نتوانند بی صدا دسترسی کامل سیستم را بدست آورند. این ویژگی بر اساس آنکه آیا فایل های اجرایی توسط تولیدکننده معتبری امضاء شده است یا خیر، تاییدیه متفاوتی با سطح خطر مختلف نمایش می دهد.
برنامه Vonteera که قصد آن ارتباط ربایی مرورگر و نمایش تبلیغات مخرب است، می تواند از این رفتار UAC برای ممانعت از نصب محصولات امنیتی سوء استفاده کند.
محققان شرکت امنیتی Malwarebytes دریافتند که این برنامه مخرب، ۱۳ امضای دیجیتال متعلق به محصولات آنتی ویروس و امنیتی را کپی برداری کرده است و آن ها را در فهرست گواهینامه های نامعتبر ویندوز قرار می دهد. این گواهینامه های نامعتبر مربوط به شرکت های Avast Software، AVG Technologies، Avira، Baidu، ESET، ESS Distribution، Lavasoft، Malwarebytes، ThreatTrack Security، بیت دیفندر، مک آفی، پاندا و ترند میکرو می باشد.
این بدافزار در بازه های زمانی خاص بررسی می کند که آیا این ۱۳ امضاء در فهرست گواهینامه های نامعتبر قرار دارند یا نه و در صورت کامل نبودن، فهرست مربوطه را اضافه می کند.
البته این بدافزار تنها نصب محصولات جدید را تحت تاثیر قرار می دهد و درایورهای سیستم و سرویس هایی که قبلا توسط آنتی ویروس ها ایجاد شده است تحت تاثیر آن قرار ندارند.
کاربران آلوده راه های متعددی برای دور زدن این بدافزار دارند تا بتوانند محصول امنیتی را بر روی سیستم نصب کنند. آن ها می توانند با غیرفعال کردن UAC این کار را انجام دهند اما به دلیل آن که امنیت سیستم را کاهش می دهد توصیه نمی شود.
هم چنین می توانند به صورت دستی با استفاده از ابزارWindows Certificate Manager ، فهرست ذخیره شده گواهینامه های نامعتبر را حذف کنند و به سرعت قبل از بازگرداندن این لیست توسط بدافزار، باید عملیات نصب آنتی ویروس را انجام دهند.
شرکت Malwarebytes دسته بندی برنامه Vonteera را از برنامه ناخواسته به برنامه مخرب تغییر داده است و آن را به عنوان تروجان شناسایی می کند. سایر آنتی ویروس های دیگر مانند بیت دیفندر و ESET نیز چنین تغییری را ایجاد کرده اند.
منبع:رسانه خبری امنیت اطلاعات
