تبليغ افزار Vonteera مانع نصب محصولات امنيتي مي شود

شماره: IRCNE2015112696
تاريخ: 09/03/94

يك تبليغ افزار شناخته شده با استفاده از يك ويژگي ويندوز كه براي امنيت طراحي شده است مانع نصب محصولات آنتي ويروس بر روي سيستم كاربران مي شود.
اين برنامه كه Vonteera ناميده شده است، از عملكرد بررسي امضاي ديجيتال توسط كنترل دسترسي كاربر ويندوز (UAC) براي فايل هاي اجرايي، سوء استفاده مي كند.
UAC قبل از اجراي فايل هاي exe از كاربر تاييده مي گيرد. اين امر باعث مي شود تا بدافزارها نتوانند بي صدا دسترسي كامل سيستم را بدست آورند. اين ويژگي بر اساس آنكه آيا فايل هاي اجرايي توسط توليدكننده معتبري امضاء شده است يا خير، تاييديه متفاوتي با سطح خطر مختلف نمايش مي دهد.
برنامه Vonteera كه قصد آن ارتباط ربايي مرورگر و نمايش تبليغات مخرب است، مي تواند از اين رفتار UAC براي ممانعت از نصب محصولات امنيتي سوء استفاده كند.
محققان شركت امنيتي Malwarebytes دريافتند كه اين برنامه مخرب، 13 امضاي ديجيتال متعلق به محصولات آنتي ويروس و امنيتي را كپي برداري كرده است و آن ها را در فهرست گواهينامه هاي نامعتبر ويندوز قرار مي دهد. اين گواهينامه هاي نامعتبر مربوط به شركت هاي Avast Software، AVG Technologies، Avira، Baidu، ESET، ESS Distribution، Lavasoft، Malwarebytes، ThreatTrack Security، بيت ديفندر، مك آفي، پاندا و ترند ميكرو مي باشد.
اين بدافزار در بازه هاي زماني خاص بررسي مي كند كه آيا اين 13 امضاء در فهرست گواهينامه هاي نامعتبر قرار دارند يا نه و در صورت كامل نبودن، فهرست مربوطه را اضافه مي كند.
البته اين بدافزار تنها نصب محصولات جديد را تحت تاثير قرار مي دهد و درايورهاي سيستم و سرويس هايي كه قبلا توسط آنتي ويروس ها ايجاد شده است تحت تاثير آن قرار ندارند.
كاربران آلوده راه هاي متعددي براي دور زدن اين بدافزار دارند تا بتوانند محصول امنيتي را بر روي سيستم نصب كنند. آن ها مي توانند با غيرفعال كردن UAC اين كار را انجام دهند اما به دليل آن كه امنيت سيستم را كاهش مي دهد توصيه نمي شود.
هم چنين مي توانند به صورت دستي با استفاده از ابزارWindows Certificate Manager ، فهرست ذخيره شده گواهينامه هاي نامعتبر را حذف كنند و به سرعت قبل از بازگرداندن اين ليست توسط بدافزار، بايد عمليات نصب آنتي ويروس را انجام دهند.
شركت Malwarebytes دسته بندي برنامه Vonteera را از برنامه ناخواسته به برنامه مخرب تغيير داده است و آن را به عنوان تروجان شناسايي مي كند. ساير آنتي ويروس هاي ديگر مانند بيت ديفندر و ESET نيز چنين تغييري را ايجاد كرده اند.