डिजिटलाइजेशन ने हमारे जीवन स्तर में काफी सुधार किया है, जिससे चीजें आसान, तेज और विश्वसनीय हो गई हैं। लेकिन फिर कंप्यूटर पर सभी रिकॉर्ड बनाए रखना और इंटरनेट के माध्यम से प्रसंस्करण करना दो भिन्न पक्षों वाले सिक्के की तरह है। अनगिनत लाभों के साथ कुछ उल्लेखनीय कमियां हैं, विशेष रूप से हैकर्स और उनके उपकरण मैलवेयर के रूप में जाने जाते हैं। इस बड़े मालवेयर परिवार में सबसे नया जोड़ा Fauxpersky है। हालांकि यह प्रसिद्ध रूसी एंटीवायरस 'कैस्पर्सकी' के साथ गाया जाता है, लेकिन यही वह जगह है जहां उनके रास्ते अलग हो जाते हैं। फॉक्सपर्स्की खुद को कास्परस्की के रूप में प्रच्छन्न करता है और इसे उपयोगकर्ता की जानकारी चुराने और इंटरनेट के माध्यम से हैकर्स को भेजने के लिए डिज़ाइन किया गया है। यह यूएसबी ड्राइव के माध्यम से फैलता है, उपयोगकर्ता के कंप्यूटर को संक्रमित करता है, कीलॉगर की तरह सभी कीस्ट्रोक्स को कैप्चर करता है और अंत में इसे Google फॉर्म के माध्यम से हमलावर के मेलबॉक्स में भेजता है। इस मैलवेयर के नाम के पीछे का तर्क सरल है। नकल में बनाई गई किसी भी चीज को फॉक्स के रूप में जाना जाएगा, इसलिए कैस्पर्सकी की नकल फॉक्स - कैस्पर्सकी या फॉक्सपर्सकी होगी।
इस मैलवेयर की निष्पादन प्रक्रिया को समझने के लिए, आइए पहले इसके विभिन्न घटकों की जाँच करें:
कुंजी लकड़हारा
Google एक कंप्यूटर प्रोग्राम को परिभाषित करता है जो एक कंप्यूटर उपयोगकर्ता द्वारा किए गए प्रत्येक कीस्ट्रोक को रिकॉर्ड करता है, विशेष रूप से पासवर्ड और अन्य गोपनीय जानकारी तक कपटपूर्ण पहुंच प्राप्त करने के लिए। हालाँकि, जब शुरू में डिज़ाइन किया गया था, तो Keylogger ने उन माता-पिता के लिए एक उद्देश्य प्रदान किया जो अपने बच्चों की ऑनलाइन गतिविधि की निगरानी कर सकते थे और उन संगठनों के लिए जहाँ नियोक्ता यह निर्धारित कर सकते थे कि क्या कर्मचारी उन्हें सौंपे गए वांछित कार्यों पर काम कर रहे थे।
ऑटोहॉटकी
ऑटोहॉटकी माइक्रोसॉफ्ट विंडोज के लिए एक स्वतंत्र, ओपन-सोर्स कस्टम स्क्रिप्टिंग भाषा है, जिसका उद्देश्य शुरू में आसान कीबोर्ड शॉर्टकट या हॉटकी, तेज मैक्रो-निर्माण और सॉफ्टवेयर ऑटोमेशन प्रदान करना है जो कंप्यूटर कौशल के अधिकांश स्तरों के उपयोगकर्ताओं को किसी भी विंडोज एप्लिकेशन में दोहराए जाने वाले कार्यों को स्वचालित करने की अनुमति देता है। विकिपीडिया से मुक्त विश्वकोश।
Google फ़ॉर्म
Google फॉर्म उन ऐप्स में से एक है जो Google के ऑनलाइन ऑफिस ऐप सूट का निर्माण करते हैं। इसका उपयोग एक सर्वेक्षण या प्रश्नावली बनाने के लिए किया जाता है जिसे बाद में लोगों के वांछित समूह को भेजा जाता है और उनकी प्रतिक्रियाओं को विश्लेषणात्मक उद्देश्यों के लिए एक ही स्प्रेडशीट में दर्ज किया जाता है।
कैस्पर्सकी
Kaspersky एक प्रसिद्ध रूसी एंटीवायरस ट्रेडमार्क है जिसने एंटीवायरस, इंटरनेट सुरक्षा, पासवर्ड प्रबंधन, एंडपॉइंट सुरक्षा और अन्य साइबर सुरक्षा उत्पादों और सेवाओं को विकसित किया है।
वहां, जैसा कि कभी-कभी कहा जाता है कि "बहुत सी अच्छी चीजें एक बड़ी बुरी चीज बना सकती हैं"।
फॉक्सपर्सकी रेसिपी
Fauxpersky को AutoHotKey (AHK) टूल का उपयोग करके विकसित किया गया था, जो विंडोज से उपयोगकर्ता द्वारा दर्ज किए गए सभी टेक्स्ट को पढ़ता है और अन्य एप्लिकेशन को कीस्ट्रोक्स भेजता है। AHK keylogger द्वारा उपयोग की जाने वाली विधि काफी सीधी है; यह स्व-प्रतिकृति तकनीक के माध्यम से फैलता है। एक बार सिस्टम पर निष्पादित होने के बाद, यह उपयोगकर्ता द्वारा टाइप की गई सभी सूचनाओं को संबंधित विंडो के नाम वाली टेक्स्ट फ़ाइल में संग्रहीत करना शुरू कर देता है। यह Kaspersky Internet Security के मुखौटे के तहत काम करता है और कीस्ट्रोक्स से रिकॉर्ड की गई सभी जानकारी को Google फ़ॉर्म के माध्यम से एक हैकर को भेजता है। डेटा निष्कर्षण विधि असामान्य है:हमलावर उन्हें ट्रैफ़िक का विश्लेषण करने वाले सुरक्षा समाधानों के भीतर बिना किसी संदेह के Google फ़ॉर्म का उपयोग करके संक्रमित सिस्टम से इकट्ठा करते हैं, क्योंकि docs.google.com के साथ एन्क्रिप्टेड कनेक्शन संदिग्ध नहीं लगते हैं। एक बार कीस्ट्रोक्स की सूची भेजे जाने के बाद, पता लगाने से रोकने के लिए इसे हार्ड ड्राइव से हटा दिया जाता है। हालाँकि, एक बार सिस्टम के संक्रमित हो जाने के बाद कंप्यूटर के पुनरारंभ होने के बाद मैलवेयर फिर से बूट हो जाता है। यह स्टार्ट मेन्यू की स्टार्टअप डायरेक्टरी में अपने लिए एक शॉर्टकट भी बनाता है।
फॉक्सपर्सकी:मोडस ऑपरेंडी
प्रारंभिक संक्रमण की प्रक्रिया अभी तक निर्धारित नहीं की गई है, लेकिन मैलवेयर के एक सिस्टम से समझौता करने के बाद, यह कंप्यूटर से जुड़ी सभी हटाने योग्य ड्राइव को स्कैन करता है और उनमें खुद को दोहराता है। यह %APPDATA% में “Kaspersky Internet Security 2017 के नाम से एक फोल्डर बनाता है। छह फाइलों के साथ, जिनमें से चार निष्पादन योग्य हैं और विंडोज सिस्टम फाइल के समान नाम हैं:Explorers.exe, Spoolsvc.exe, Svhost.exe, और Taskhosts.exe। अन्य दो फाइलें Kaspersky एंटीवायरस लोगो वाली एक पिक्चर फाइल हैं और दूसरी फाइल जो 'readme.txt' नाम की टेक्स्ट फाइल है। चार निष्पादन योग्य फाइलें अलग-अलग कार्य करती हैं:
- Explorers.exe - फ़ाइल दोहराव के माध्यम से होस्ट मशीनों से कनेक्टेड बाहरी ड्राइव में फैलता है।
- Spoolsvc.exe - यह सिस्टम के रजिस्ट्री मूल्यों को बदल देता है जो बदले में उपयोगकर्ता को सभी छिपी और सिस्टम फाइलों को देखने से रोकता है।
- Svhost.exe- वर्तमान में सक्रिय विंडो की निगरानी के लिए AHK फ़ंक्शन का उपयोग करता है और उस विंडो में दर्ज किए गए किसी भी कीस्ट्रोक्स को लॉग करता है।
- Taskhosts.exe - अंतिम डेटा अपलोड के लिए उपयोग किया जाता है।
टेक्स्ट फ़ाइल में दर्ज किया गया सभी डेटा Google प्रपत्रों के माध्यम से हमलावर के मेलबॉक्स में भेजा जाएगा और सिस्टम से हटा दिया जाएगा। इसके अलावा, Google फ़ॉर्म के माध्यम से प्रेषित डेटा को पहले ही एन्क्रिप्ट किया जा चुका है, जिससे Fauxpersky के डेटा अपलोड विभिन्न ट्रैफ़िक निगरानी समाधानों में संदिग्ध नहीं लगते हैं।
साइबर सुरक्षा कंपनी 'साइबेरसन' को इस मैलवेयर की खोज करने का श्रेय दिया जाता है और हालांकि यह इंगित नहीं करता है कि कितने कंप्यूटर संक्रमित हुए हैं, लेकिन यह देखते हुए कि फॉक्सपर्सकी की खुफिया यूएसबी ड्राइव साझा करने की पुरानी शैली के माध्यम से फैली हुई है। एक बार जब Google को सूचित किया गया, तो उसने तुरंत एक घंटे के भीतर अपने सर्वर से फ़ॉर्म को हटाकर जवाब दिया।
निकालना
यदि आपको लगता है कि आपका कंप्यूटर भी संक्रमित है, तो बस 'AppData' फ़ोल्डर तक पहुँचें और 'रोमिंग' फ़ोल्डर में प्रवेश करें और Kaspersky Internet Security 2017 और निर्देशिका से संबंधित फ़ाइलों को स्टार्ट मेनू में स्थित स्टार्टअप निर्देशिका से हटा दें। खातों के अनधिकृत उपयोग से बचने के लिए, सेवाओं के पासवर्ड को संशोधित करने की भी सलाह दी जाती है।
यहां तक कि नवीनतम एंटी-मैलवेयर के साथ, पैसा खरीद सकता है, यह सोचना गलत होगा कि हमारे कंप्यूटर पर संग्रहीत हमारी व्यक्तिगत जानकारी सुरक्षित है क्योंकि दुनिया भर में सोशल इंजीनियरिंग कार्यकर्ताओं द्वारा अक्सर मैलवेयर बनाए जा रहे हैं। एंटी-मैलवेयर डेवलपर मैलवेयर परिभाषाओं को अपडेट करते रह सकते हैं, लेकिन यह हमेशा 100% संभव नहीं होता है कि वे प्रतिभाशाली दिमागों द्वारा बनाए गए असंगत सॉफ़्टवेयर का पता लगा सकें जो भटक गए हैं। घुसपैठ को रोकने का सबसे अच्छा तरीका है कि केवल विश्वसनीय वेबसाइटों पर जाएं और बाहरी ड्राइव का उपयोग करते समय अत्यधिक सावधानी बरतें।