بدافزار خطرناک Vidar اخیرا در فایل های کمکی ویندوز مایکروسافت پنهان شده است

با وجود تلاش بی وقفه متخصصان امنیت، اما گویا همیشه مهاجمان و هکرها دست بالاتر را دارند. این موضوع را در دفعات مختلفی بیان کرده‌ایم که بخشی از امنیت وابسته به خود کاربران و افزایش فهم و درک آن‌ها در تعامل با یک سیستم است. زیرا امنیت هرچقدر هم گسترده و کامل به نظر برسیدد، باز هم امکان قربانی شدن کاربران توسط هکرها وجود دارد. بر اساس اخبار منتشر شده، بدافزار خطرناک Vidar اخیرا در فایل های کمکی ویندوز مایکروسافت پنهان شده است که نیاز است کاربران آن را بشناسند.

بدافزار خطرناک Vidar و توصیه‌های امنیتی به کاربران
اخیرا و بر اساس اعلام رسانه‌ها، کارشناسان امنیتی شرکت Trustwave پس از روبرو شدن با یک مشکل امنیتی، زنگ خطر را به صدا در آورده‌اند. کاربران باید مراقب این کمپین جدید توزیع بدافزار Vidar باشند. این بدافزار اکنون در فایل‌هایی با پسوند .CHM پنهان می‌شود. این فایل‌ها در واقع فایل‌های راهنمای مایکروسافت هستند که در اکثر برنامه‌ها و سرویس های ویندوز یافت می شوند.

کارشناسان امنیتی شرکت Trustwave به همین خاطر به کاربران هشدار جدی اعلام کرده‌اند. زیرا موج جدیدی از توزیع بدافزار Vidar که یک بدافزار معروف و به شدت مخرب می‌باشد، در جریان است. اما این بدافزار به جای پنهان شدن در یک فایل اجرایی، این بار در فایل راهنمای مایکروسافت پنهان می‌شود.

این بدافزار از طریق روش قدیمی ارسال هرزنامه ها که در صندوق دریافتی ایمیل خود دریافت می‌کنید، پخش می‌شود. پیام حاوی پیوستی است که آن فرستنده شما را تشویق می‌کند آن را با این کلمات باز کنید: «این اطلاعات مهم برای شماست. لطفا پیوست این ایمیل را ببینید. در اینجاست که بدافزار با کلیک کردن شما، وارد عمل می‌شود.

این بدافزار برای اینکه خود را حتی بهتر از گذشته، از چشم قربانیانش پنهان کند، در یک فایل .DOC به نام REQUEST.DOC پنهان می‌شود. اما فریب پسوند آن را نخورید، این فایل در واقع یک فایل ISO است. در داخل آن یک فایل HTML وجود دارد که با فرمت CHM کامپایل شده است که به طور کلی “PSS10R.CHM” نامیده می‌شود و هنوز هم در فایل ISO یک فایل اجرایی به نام APP.EXE وجود دارد.

چرا این بدافزار در فایل‌های کمکی مایکروسافت پنهان شده است
هنگامی که فایل CHM یا فایل اجرایی باز شود، یک کد کوتاه جاوا اسکریپت راه اندازی می‌شود و سپس بدافزار Vidar می‌تواند دستورات خود را اجرا کند.  این بدافزار پوشه خود را در مسیر C:ProgramData ایجاد می‌کند و داده‌های جمع آوری شده را به سرور خود ارسال می‌کند.

این بدافزار حتی در صورت لزوم، می‌تواند یک فایل اجرایی دیگر که آن هم یک بدافزار است را دانلود کند. پس از انجام این کار، بدافزار ردپای خود را در پوشه ProgramData پاک می‌کند و DLL های ایجاد شده برای این مورد را نیز حذف می‌کند.

بدافزار Vidar قادر به بازیابی اطلاعات سیستم عامل و همچنین و بدتر از هرچیز، دسترسی به همه اطلاعات کاربر است. این بدافزار همچنین می‌تواند تمام داده‌های پرداخت از کارت اعتباری یا خدمات پرداخت آنلاین را از شما سرقت کند و برای بستن گم کردن رد همه چیز، حتی ممکن است او اطلاعاتی را سرقت کند که به او اجازه می‌دهد خود را در یک سرویس ارز دیجیتال بشناساند.

اولین ظهور بدافزار Vidar به سال ۲۰۱۸ برمی‌گردد. این نرم‌افزار در اساس، ساختار و منشا روسیه‌ای دارد. اما چرا چنین فرضی از سوی کارشناسان امنیتی که ویدار را کشف کردند مطرح شد؟ زیرا هنگامی که این بدافزار بر روی دستگاهی واقع در روسیه نصب شود، یا صفحه کلید رایانه آلوده شده کاربر دارای صفحه کلید روسی باشد، بلافاصله سو استفاده‌های خود را متوقف می‌کند.

به گفته وب سایت خبری GizChina، یعنی این بدافزار احتمالا به خاطر ترس از تبعات منفی کار خود، در روسیه دست به چنین اقداماتی نمی‌زند. همین موضوع احتمال اینکه افراد پشت پرده این بدافزار از روسیه باشند را تقویت می‌کند.

طبق معمول، توصیه می‌شود هرگز پیوست یا لینکی را که از فرستنده‌های ناشناس هستند باز نکنید. در مرحله دوم، بهتر است این پیوست را با استفاده از یک آنتی ویروس، مانند BitDefender، Norton Security، Avast یا Microsoft Defender اسکن کنید.

نظر شما در مورد بدافزار خطرناک Vidar چیست؟ آیا تا به حال با این بدافزار خطرناک روبرو شده‌اید؟! راه حل شما برای برون رفت از مشکلات ایجاد شده توسط این بدافزار چه بوده است