چگونه هکرها شما را با فیلم و ویدیوهای تله آلوده میکنند ؟

اندرنیور اخیرا با مواردی برخورد کرده که لازم دانسته در مورد ان تحقیق کرده و با روشی که فعلا روی وب همیشه حضور داشته و دانلود کنندگان فیلمهای انلاین را قربانی میکند اشنا شود و بیشتر در مورد ان اطلاعات به دست بیاورد. فقط تعداد افرادی را که در سرتاسر جهان میتوانند الوده شوند را مجسم کنید.

شاید عده ای انرا باور نکرده و نپذیرند اما واقعا این چنین چیزی وجود دارد. برای نوشتن این مقاله ما مثالی واقعی را برگزیده و ازمایش کردیم.

یکی از فیلمهای بسیار معروف فعلی که روی شبکه های اجتماعی زیاد از ان صحبت میشود, فیلم Fast & Furious 6 میباشد. در نتیجه این فیلم برای ازمایش انتخاب شده است.

تصور کنید که شما مایلید که انرا با کیفیت خوب و نه TS/SC روی نت برای دانلود بیابید. مسلما به سمت فایلهای DVDRIP یا BDRIP خواهید رفت. اما واقع بین باشیم. این فایل نمیتواند موجود باشد. تاریخ روی پرده رفتن این فیلم در ۲۲ مه در فرانسه و ۲۴ مه در امریکا بوده است و در زمانیکه این مقاله نوشته میشود یعنی ۲۷ مه, روی وب نمیتوانسته موجود باشد. به همین دلیل است که اندرنیوز برای ازمایش این فیلم را برگزیده است. مسلما میتوانستیم هر فیلم جدید دیگری را بطور تصادفی انتخاب کنیم اما در هر حال نتیجه همان است.

در ابتدا با تایپ نام این فیلم در جستجوی ان بر امدیم. فورا هزاران نتیجه نمایش داده شدند. هر چند که بسیار تعجب اور است اما این فیلم روی سایتهای تخصصی بسیاری ذکر شده است. اولین نتیایج جستجو را ازمایش کردیم. همه انها سایتهای وارز و از نوع دایرکتور لینکها برای فایلهای این فیلم بوند که یا لینک ها موجود نبوده و یا به جائی منتهی نشده و در واقع لینکهای فاقد محتوا بوده و یا لینکهائی بودند که به سوی صفحات یک سایت همکار که برای افزایش ترافیکش پولی پرداخت میکرد منتهی شده و یا به سمت پرسشهای اماری که حداکثر درامد را دارند رهنمون میشدند.

خلاصه مطلب همانطور که متوجه شدید این سایتها فقط کلمات کلیدی را که جستجو میشوند را ایندکس کرده اند تا درامدهائی تبلیغاتی برای خود به دست بیاورند. اما این سایتها واقعا خطرناک نیستند.

اما در صفحه دو نتیجه جستجو موضوع کاملا تغییر میکند. سایتهای بیت تورنت و وارز اینبار فایلهای واقعی این فیلم را برای دانلود ارائه میکنند. یکی دارای دانلود کنندگانی فعال و Seeders است (افرادی که صاحب فایلی بوده و انرا به اشتراک میگذارند) و دیگری نظریات مثبت مسلما دروغین دارد که برای جذب کاربر عجول است.

بلافاصله ما تصمیم گرفتیم که این فایلها را دانلود کنیم. قابل ذکر است که اولین چیزی که باید توجه شما را بخود جلب کرده و هوشیار کند فرمت فایلها است که AVI نبوده و WMV هستند.

بالاخره فایلها با حجم ۷۰۲ مگابایت دانلود شدند. تمام انها را با VLC اجرا کردیم. ویدیو نمایش داده میشود اما کاملا درهم و مبهم با فقط رنگ سیاه و ابی و سبز و زرد و بدون صدا است. خوب بله. چه انتظار داشتید ؟

در پوشه دانلود شده یک فایل readme.txt موجود است که در ان گفته میشود که فایل باید فقط با ویندوز مدیا پلیر اجرا شده و شاید لازم باشد که کدکی بخصوص هم دانلود شود. ما تصمیم گرفتیم که این دستورات عجیب و مسخره را انجام دهیم و انرا با ویندوز مدیا پلیر اجرا کردیم. پنجره دومی روی ویندوز مدیا پلیر باز شده و پیشنهاد بروز رسانی انرا میکند. خیلی عجیب است ! در انتها پنجره دیگری گشوده میشود که صفحه کوچک شده مرورگر اینترنت اکسپلورر است و یک دکمه بزرگ Download سبز رنگ در ان نمایش داده میشود. روی ان کلیک میکنیم. فایلی از یک سرور CDN /Content delivery network یا شبکه توزیع محتوا از نوع q785.xdonwload.com دانلود میشود که حرف x یک حرف تصادفی است. روشن است که چندین سرور این فایلهای مخرب را توزیع میکنند.

باز هم فراتر رفته و بعد از دانلود این فایل روی یک کامپیوتر تست بدون اینکه انرا اجرا کنیم را مشاهده میکنیم که در واقع یک فایل اجرائی به نام vidplayer_9463416834125.exe است. مسلما زنجیره اعداد تصادفی هستند و در نتیجه فقط این فایل اجرائی این نام را دارد. بعد از اسکن فایل با ویروس توتال نتیجه گرفته میشود که این برنامه یک ادویر دانلودر و تروجان دانلودر است. تعجب کرده اید ؟ اما میشد پیش بینی کرد.

برای توضیح هر چند ساده اما باید بدانید که فایلهای WMA و WMV برای ویندوز مدیا پلیر میتوانند بطور خودکار یک یو ار ال یا تقاضای لیسانس را به همراه داشته باشند. هکرها به این صورت از انها بعنوان دام استفاده میکنند. همه انهائی که این فایلها را دانلود میکنند و سعی در مشاهده ان دارند این فایل را دانلود خواهند کرد. اگر فایل دانلود شده اجرا گردد بلافاصله دستگاه الوده شده و تقاضای لیسانس میتواند به تخریب و مجبور ساختن کاربر به پرداخت هزینه ای برای دیدن ویدیوی خیالی منجر گردد.

برای پرهیز از اینگونه دامها به چند چیز توجه داشته باشید :

- به دنبال فیلمی که هنوز ارائه نشده نگردید

- فایلهای AVI یا MKV را به فرمتهای دیگر ترجیح دهید

- قبل از اقدام به دانلود با دقت هر چه بیشتر تمام نظریات کاربران دیگر را بخوانید

- روی ترکرهای تورنت به دنبال استاتوس “کنترل شده” بگردید

- از فایلهائی که هیچ نظریه ای در مورد انها داده نشده و Seeders بسیاری دارند و دانلود کنندگانی ندارند به شدت بپرهیزید

- از فیلمهاو ویدیوهائی که با دستوراتی و یا رمز عبورهائی همراه هستند و یا فایلهای اجرائی هستند بپرهیزید

- از دانلود فایلهای فشرده رمز نگاری شده بپرهیزید

- از سایتهای شناخته شده و خوشنام و نه سایتهای گمنامی که در جستجوی گوگل میابید استفاده کنید

- از بیت تورنتهای رسمی استفاده کنید

- فقط از پلیرهای شناخته شده و رسمی استفاده کنید و هر پلیری که توصیه شده و پیشنهاد میشود را دانلود نکنید

در اخر باید بگوئیم که با هش MD5 فایل توانستیم فایل ویدیوی الوده را حداقل روی ده trackers و لیستهای بیت تورنت و هشت سایت و بلاگ دی دی ال وارز بیابیم.

این فایل مخرب خسارات زیادی وارد میکند. بزودی بررسی و نتیجه انالیز بیت دفندر با جزئیاتی بیشتر در مورد ان منتشر خواهد شد.