یک بهروزرسانی جعلی برای گوگل کروم و یک بهروزرسانی جعلی برای
media player کشف شده است. به نظر میرسد این بدافزارها طوری طراحی شدهاند
که کاملاً معتبر هستند.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، هر
دو بهروزرسانی مذکور توسط گواهینامههای معتبر امضای کد VeriSign امضا
شدهاند. این مسأله بیسابقه نیست، اما استفاده بدافزار نویسان از
گواهینامههای ارائه دهنده گرانقیمتی مانند VeriSign غیرمعمول است.
سرویسهای احراز هویت VeriSign اکنون بخشی از سایمانتک است.
این بهروزرسانی جعلی کروم از لوگویی مشابه کروم واقعی استفاده میکند،
ولی به راحتی از لوگوی اصلی قابل تشخیص است. صفحه مربوطه به درستی نسخه
کروم در حال اجرا برروی سیستم قربانی را شناسایی میکند و پیغامی مبنی بر
احتمال بهروز نبودن مرورگر کروم به کاربر نمایش میدهد.
نام فایل مزبور Chrome_Security_Plugin_Setup.exe و حجم آن ۱٫۷۴ مگابایت
است. اطلاعات فایل آن را تحت عنوان Express Install نسخه ۳٫۷٫۱٫۰ معرفی
میکند. منتشر کننده این فایل نیز در گواهینامه امضای VeriSign به نام TINY
INSTALLER ثبت شده است.
به گزارش VirusTotal در صبح جمعه، پنج محصول از کل ۴۸ محصولی که این
مجموعه با آن کار میکند، این فایل را شناسایی کردهاند. Fortinet و ESET
آن را تحت عنوان W32/Kryptik میشناسند.
بهروزرسانی جعلی ادوب اندکی ناواضح بوده و به کاربر پیغامی مبنی بر
لزوم بهروزرسانی Media Player میدهد، اما ظاهری شبیه به بهروزرسانیهای
ادوب دارد.
نام فایل Flash Player 12.exe بوده و حجم آن ۸۱۴ کیلوبایت است. منتشر
کننده این فایل در هدر و همچنین در گواهینامه امضای VeriSign تحت عنوان Air
Software معرفی شده و نام محصول نیز Adobe Flash Player نسخه ۲٫۰٫۴٫۵۴
است. ۹ شرکت از ۴۸ شرکت آنتیویروس که VirusTotal با آنها کار میکند، این
فایل را اغلب به عنوان تبلیغافزار شناسایی کردهاند.