Τα Windows προσπαθούν όλο και περισσότερο να σταματούν ιούς και κακόβουλο λογισμικό, ακόμα κι αν δεν έχετε εγκατεστημένο το καλύτερο λογισμικό προστασίας.
Έτσι οι προγραμματιστές κακόβουλου λογισμικού θα πρέπει να είναι πολύ δημιουργικοί για να μολύνουν συστήματα. Τελευταία λοιπόν παρατηρήθηκαν επιθέσεις με χρήση της εφαρμογής Calculator των Windows 7.
Ο ερευνητής ασφαλείας “ProxyLife” ανακάλυψε ότι ορισμένες επιθέσεις κακόβουλου λογισμικού και phishing χρησιμοποιούν την εφαρμογή Calculator των Windows 7 για να εισβάλουν σε σύγχρονους υπολογιστές με Windows, όπως αναφέρει το Bleeping Computer.
Η επίθεση ξεκινά εξαπατώντας κάποιον να κατεβάσει μια εικόνα δίσκου ISO μεταμφιεσμένη σε PDF ή κάποιο άλλο αρχείο, το οποίο περιέχει μια συντόμευση που ανοίγει ένα κακόβουλο αντίγραφο της εφαρμογής Αριθμομηχανή (Calculator).
Γιατί χρησιμοποιούν μια ξεπερασμένη έκδοση της εφαρμογής Αριθμομηχανή για να παραβιάσουν συστήματα;
Λοιπόν, η Αριθμομηχανή των Windows 7 χρησιμοποιεί τις Βιβλιοθήκες Dynamic Link (DLL) στον ίδιο φάκελο, εάν υπάρχουν, αντί να χρησιμοποιεί τις βιβλιοθήκες που βρίσκονται στο φάκελο του συστήματος των Windows.
Το άνοιγμα της εφαρμογής Αριθμομηχανής δεν ενεργοποιεί κανένα συναγερμό στα Windows, πιθανότατα επειδή είναι υπογεγραμμένη από την Microsoft, αλλά εξακολουθεί να μπορεί να φορτώνει την μολυσμένη βιβλιοθήκη “WindowsCodecs.dll” που έρχεται μαζί με την κακόβουλη Αριθμομηχανή.
Οι νεότερες εκδόσεις της εφαρμογής Αριθμομηχανή που συμπεριλαμβάνονται στα Windows και δεν είναι ευάλωτες. Γι’ αυτό χρησιμοποιούν μια παλαιότερη έκδοση.
Τα αρχεία που χρησιμοποιήθηκαν στην επίθεση phishing, είναι τα “calc.exe” από τα Windows 7 και δύο αρχεία DLL ProxyLife
Δεν είναι ακόμη σαφές εάν η Microsoft έχει ενημερώσει το Defender για να αναγνωρίζει αυτό τον τύπο επίθεσης, αλλά αν δεν κάνετε λήψη αρχείων από περίεργους ιστότοπους (ή συνημμένα email από άτομα που δεν γνωρίζετε), πιθανότατα δεν χρειάζεται να ανησυχείτε.
Ενημέρωση:
Στην σελίδα μας στο Facebook παρατηρήθηκαν σχόλια που αμφισβητούν τα παραπάνω, χρησιμοποιώντας σαν αιτιολογία την μη υποστήριξη των Windows 7 από την Microsoft. Καλό θα είναι να διαβάζετε το όλο κείμενο πριν το κρίνετε.
Παραπάνω λοιπόν αναφέρουμε:
“Γιατί χρησιμοποιούν μια ξεπερασμένη έκδοση της εφαρμογής Αριθμομηχανή για να παραβιάσουν συστήματα;
Λοιπόν, η Αριθμομηχανή των Windows 7 χρησιμοποιεί τις Βιβλιοθήκες Dynamic Link (DLL) στον ίδιο φάκελο, εάν υπάρχουν, αντί να χρησιμοποιεί τις βιβλιοθήκες που βρίσκονται στο φάκελο του συστήματος των Windows.”
Οι επιτιθέμενοι χρησιμοποιούν μια παλαιότερη εφαρμογή για επιθέσεις σε νέα συστήματα:
“Το άνοιγμα της εφαρμογής Αριθμομηχανής δεν ενεργοποιεί κανένα συναγερμό στα Windows, πιθανότατα επειδή είναι υπογεγραμμένη από την Microsoft, αλλά εξακολουθεί να μπορεί να φορτώσει την μολυσμένη βιβλιοθήκη “WindowsCodecs.dll” που έρχεται με την κακόβουλη Αριθμομηχανή.
Οι νεότερες εκδόσεις της εφαρμογής Αριθμομηχανή που συμπεριλαμβάνονται στα Windows και δεν είναι ευάλωτες. Γι’ αυτό χρησιμοποιούν μια παλαιότερη έκδοση.”