به‌روز رسانی‌های جعلی كروم و فلش

شماره: IRCNE2013101985
تاريخ: 27/07/92

يك به‌روز رساني جعلي براي گوگل كروم و يك به‌روز رساني جعلي براي media player كشف شده است كه طوري طراحي شده‌اند كه به نظر مي‌رسد كاملاً معتبر هستند.
هردو به‌روز رساني مذكور توسط گواهينامه‌هاي معتبر امضاي كد VeriSign امضا شده‌اند. اين مسأله بي‌سابقه نيست، اما استفاده بدافزار نويسان از گواهينامه‌هاي ارائه دهنده گران‌قيمتي مانند VeriSign غيرمعمول است. سرويس‌هاي احراز هويت VeriSign اكنون بخشي از سايمانتك است.
اين به‌روز رساني جعلي كروم از لوگويي مشابه كروم واقعي استفاده مي‌كند، ولي به راحتي از لوگوي اصلي قابل تشخيص است. صفحه مربوطه به درستي نسخه كروم در حال اجرا بر روي سيستم قرباني را شناسايي مي‌كند و پيغامي مبني بر احتمال به‌روز نبودن مرورگر كروم به كاربر نمايش مي‌دهد.
نام فايل مزبور Chrome_Security_Plugin_Setup.exe و حجم آن 1.74 مگابايت است. اطلاعات فايل آن را تحت عنوان Express Install نسخه 3.7.1.0 معرفي مي‌كند. منتشر كننده اين فايل نيز در گواهينامه امضاي VeriSign به نام TINY INSTALLER ثبت شده است.
به گزارش VirusTotal در صبح جمعه، 5 محصول از كل 48 محصولي كه اين مجموعه با آن كار مي‌كند، اين فايل را شناسايي كرده‌اند. Fortinet و ESET آن را تحت عنوان W32/Kryptik مي‌شناسند.
به‌روز رساني جعلي ادوب اندكي ناواضح بوده و به كاربر پيغامي مبني بر لزوم به‌روز رساني Media Player مي‌دهد، اما ظاهري شبيه به به‌روز رساني‌هاي ادوب دارد.
نام فايل Flash Player 12.exe بوده و حجم آن 814 كيلوبايت مي‌باشد. منتشر كننده اين فايل در هدر و همچنين در گواهينامه امضاي VeriSign تحت عنوان Air Software معرفي شده است و نام محصول نيز Adobe Flash Player نسخه 2.0.4.54 مي‌باشد. 9 شركت از 48 شركت آنتي‌ويروس كه VirusTotal با آنها كار مي‌كند، اين فايل را اغلب به عنوان تبليغ‌افزار شناسايي كرده‌اند.