شرکت امنیتی مک آفی، به کاربران مرورگرهای کروم، فایرفاکس و اینترنت اکسپلورر درباره بدافزار سرقت اطلاعات مرورگر (Browser Hijacker) به نام Bing.vc هشدار داد.

بدافزار سرقت اطلاعات مرورگر ، نوعی بدافزار است که بدون اجازه کاربر، تنظیمات مرورگر را تغییر می دهند و باعث نمایش تبلیغات ناخواسته، تغییر صفحه خانه (Home Page) مرورگر، تغییر موتور جستجوی پیشفرض مرورگر، همچنین سرقت کوکی های مرورگر و حتی نصب کی‌لاگر برای به سرقت بردن اطلاعات حساس نظیر پسورد ها می شود.

تغییر مسیر به کاربر به یک صفحه ناخواسته، نمایشتبلیغات پاپ آپ ناخواسته، ناپایداری و اشتباهات مکرر مرورگر و مشکل در دسترسی به سایت های مربوط به امنیت، برخی از نشانه های آلودگی بدافزار سرقت اطلاعات مرورگر است. این بدافزارها معمولاً از طریق نصب برنامه های رایگان غیر معتبر، ارسال ایمیل و یا دانلود فایل از سایت های نامعتبر گسترش می یابند.

آلودگی محصولات شرکت Lavians به بدافزار سرقت اطلاعات مرورگر

Bing.vc یک بدافزار سرقت اطلاعات مرورگر مخرب است که بدون اجازه کاربر، خودش را در مرورگرهای اینترنت اکسپلورر، فایرفاکس و کروم نصب می کند. این بدافزار در ابزارهای نصب درایور (Driver Utility Setup) محصول شرکت Lavians Inc مخفی است و با نصب این ابزار مرورگرها به بدافزار آلوده می شوند.
بدافزار Bing.vc در ابزار نصب درایور شرکت Lavians Inc برای لپ تاپ هایی نظیر HP DESKJET F4580، DELL Inspiron 5100، Acer Aspire ONE ZG5 و … موجود است و با راه اندازی این نرم افزار، بدافزار نیز نصب می شود.

مک آفی به همه کاربران توصیه کرده برای جلوگیری از آلودگی رایانه به ویروس و بدافزارهای این چنینی، به جای استفاده از نرم افزارهای جانبی، دیوارهای مورد نیاز خود را مستقیماً از سایت سازنده سخت افزار دریافت و نصب کنند.

روش حذف بدافزار سرقت اطلاعات مرورگر Bing.vc

کارشناسان مک آفی ابزارهای نصب درایور DELL Latitude D810 محصول شرکت Lavians Inc برای بررسی این بدافزار امتحان کرده اند. این نرم افزار بدون هیچ مشکلی نصب شده و هیچ خطایی وجود نداشته است. اما پس از نصب صفحه خانه و جستجوگر پیشفرض مرورگرهای bing.vc تغییر کرده است. تصویر زیر، تغییر صفحه خانه مرورگر کروم را نمایش می دهد و تصویر بالا، تغییر صفحه خانه در مرورگر فایرفاکس.

بدافزار bing.vc فایل های زیر را در رایانه کپی می کند:

• C:\Documents and Settings\Administrator\Local Settings\Application Data\IconOverlayEx.dll
• C:\Program Files\DELL Latitude D810 Drivers Utility\DPInst.exe
• C:\Program Files\DELL Latitude D810 Drivers Utility\DriverBackUp.exe
• C:\Program Files\DELL Latitude D810 Drivers Utility\driverlib.dll
• C:\Program Files\DELL Latitude D810 Drivers Utility\DriverUpdateUtility.exe
• C:\Program Files\DELL Latitude D810 Drivers Utility\unins000.dat
• C:\Program Files\DELL Latitude D810 Drivers Utility\unins000.exe
• C:\Program Files\DELL Latitude D810 Drivers Utility\update.dll
• C:\Documents and Settings\All Users\Desktop\DELL Latitude D810 Drivers Utility.lnk
• C:\Documents and Settings\All Users\Start Menu\Programs\DELL Latitude D810 Drivers Utility\DELL Latitude D810 Drivers Utility.lnk
• C:\Documents and Settings\All Users\Start Menu\Programs\DELL Latitude D810 Drivers Utility\Uninstall DELL Latitude D810 Drivers Utility.lnk

اولین گام برای حذف بدافزار پاکسازی این فایل هاست. به جز فایل IconOverlayEx.dll همگی فایل ها حذف می شوند. از طرفی اگر شما برای حذف (Uninstall) نرم افزار نیز تلاش کنید،با اینکه همه ی فایل ها حذف می شوند اما باز هم فایل IconOverlayEx.dll حذف نمی شود و در عوض دو ورودی رجیستری به آدرس های زیر اضافه می شود:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ IconOverlayEx\: “{E1773C0E-364D-4210-B831-72F5A359E88F}”
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E1773C0E-364D-4210-B831-72F5A359E88F}: “Icon Overlay Shell Extension”

این عمل، که با ساخت ورودی های رجیستری انجام می شود، روش معمول بدافزارها برای ادامه فعالیت بدون اجازه کاربر است.

پس از حذف نرم افزار و ریستارت کردن رایانه، نرم افزار حذف، اما بدافزار همچنان در رایانه باقیست و تمامی صفحات خانه مرورگر ها به شکل زیر تغییر می کند.

برای حذف ورودی های رجیستری و فایل IconOverlayEx.dll باید لینک مربوط به بدافزار را در تنظیمات مرورگر حذف و سپس اقدام به پاکسازی نمایید.

منبع: McAfee