چه زمان میتوان یک برنامه را یک بدافزار (Malware) دانست ؟

همه از برنامه های مخرب همانند طاعونی میگریزند. معمولا زمانیکه برنامه ای مخرب به فایلها حمله میکند و یا مثلا تروجانهائی روی سیستم نصب مینماید, میتوان انرا برنامه ای مخرب دانست. با اینهمه, زمانیکه با بعضی برنامه هائی که روی سیستم نصب گشته و پیامهائی چون تبلیغات را نمایش میدهند, شناسائی ملویر بودن یا نبودن انها مشکل میشود. ایا میتوان در اینگونه موارد از این برنامه ها بعنوان برنامه هائی مخرب نام برد ؟ اگر برنامه ای بدون اگاهی و رضایت کاربر اجرا گردد و یا از فناوریهای فرار برای دور زدن امنیت مرورگر استفاده نماید, میتوان انرا در دسته برنامه های مخرب دسته بندی کرد ؟ و یا باز اگر برنامه ای قسمتی از کد داخلی خود را پنهان و قسمتهای لازم را رمزنگاری نماید و مانع یافتن ان گردد و یا داده هائی را گرداورده و بدون اگاهی کاربر انها را به ثالثی ارسال کند , میتوان صحبت از ملویر نمود ؟

گروه امنیتی Talos Group سعی کرده تا جائیکه ممکن است پاسخی روشن به پرسش چه زمان میتوان یک برنامه را بعنوان ملویر اعلام کرد دهد.

محققین امنیتی Talos Group میگویند “بدون نورمی روشن که انچه را که قابل قبول نیست را توصیف نماید, شناسائی برنامه های مخرب مشکل ساز است”. در نتیجه اگر نمیخواهیم که به دلیل نبودن استانداردی دچار سردرگمی گردیم, تعیین حدودهائی که بر اساس انها برنامه ای میتوانند بعنوان یک برنامه مخرب تلقی گردد اجباری است.

از اول ژوئن 2015 مایکروسفت خط مشی برای خود در نظر گرفته که بر اساس ان محصولات امنیتی این شرکت, برنامه هائی که قابلیتهائی برای موتور جستجو داشته و یا به ان و یا مرورگر بیافزایند را ملویر شناسائی میکنند. Talos میگوید این امر اوراکل را ناچار ساخت تا گزینه نصب تولبار Ask. com را که در پلاگین جاوا بکار برده بود را حذف نماید.

همچنین برای داشتن ایده ای شخصی از این مشکل و نشان دادن نتایجی اثبات شده, محققین Talos رفتار یک تولید کننده پاپ اپ به نام ‟Infinity Pop-up Toolkit” را انالیز کرده اند. قسمتی از این برنامه مکانیسمهای مسدود سازی پاپ اپ در گوگل کروم را دور میزند تا اگهی های تبلیغاتی در پنجره های پاپ اپ نمایش دهد. Talos میگوید چندین تبلیغ کننده از ان برای انتشار تبلیغ قیمتهای استثنائی محصولات روی نت استفاده میکنند. اینان ابزار Infinity Pop-up را در فایلی فلش ادغام کرده و کاربران را وادار به کلیک کردن روی انها مینمایند و اینطور وانمود میکنند که نیاز دارند عملی که جاوا اسکریپت نیاز دارد را اجرا نمایند. در واقع فایل SWF بعنوان پناهی برای پنهان ساختن رفتار واقعی برنامه Infinity Pop-up است و با رمزنگاری بیناری ان از نوع Blob که فقط از طریق یک دامین تعیین شده توسط سازنده برنامه قابل دسترسی است استفاده میشود.

سپس هر بار که کاربر صفحه ای که اینچنین ابزاری در ان پنهان گشته را بازدید میکند, کنترل کننده برنامه مقدار مهمی از داده های شخصی در مورد وی را گرداوری مینماید که از این میان مثلا میتوان از نسخه مرورگر و سیستم عامل و پلاگینهائی که پشتیبانی میشوند و ساعت جغرافیائی یا محلی کاربر و غیره نام برد. اگر کاربر از یک مسدود کننده پاپ اپ استفاده نماید, اخطاری به اگهی دهنده ارسال گشته و وی را از اینکه این کاربر از چنین ابزار مسدود کننده ای استفاده مینماید مطلع میسازد.

این اطلاعات شخصی که بدون رضایت کاربر به دست میایند میتوانند برای ثالثینی مخرب ارسال گردند. بسیاری معتقدند که این امر حمله از راه دور به دستگاهی که جاسوسی شده را اسان میسازد.

همچنین باید متذکر شد که برنامه فلش حاوی Infinity popup دارای درجات بسیار و پیچیده ای است که امکان دستکاری DOM یا Document Object Model , اجرای تبلیغات تمام صفحه و غیره را فراهم میسازد.

با توجه به انچه که گفته شد, Talos Group اینطور نتیجه گیری میکند که “Infinity Popup Toolkit” رفتاری دارد که خط محدوده را گذرانده و به سرزمین برنامه های ناخواسته قدم میگذارد و همچنین “با توجه به ویژگیهای این فایل فلش, قابلیتها و توانائیهایش, Talos تصمیم به دسته بندی این قسمت برنامه در دسته برنامه مخرب گرفته و انرا مسدود میسازد.”