آگهی افزاری مخفیانه وارد سیستم مرکزی ویندوز میشود
بسیاری از انواع آگهیافزارها تنها برای ایجاد مزاحمت وارد رایانه کاربر میشوند. با این وجود نمونه جالبی از آگهیافزارها شناسایی شده است که با استفاده از تکنیکهای جدید توجه محققان را به خود جلب کرده است.
یکی از انواع جدید آگهیافزارها که با نام DealPly شناخته میشود این تکنیک جدید را مورد استفاده قرار میدهد. «آدی زلیگسون» و «راتم کرنر» از محققان مرکز امنیتی enSilo با انتشار یک مطلب وبلاگی توضیح دادند بدافزار جدید قابلیتهایی که در آگهیافزارهای معمول دیده میشود را در خود جا نداده است و در عوض میتواند بدون شناسایی شدن توسط برنامههای ضدویروس به فعالیتهای خود ادامه دهد.
آگهیافزار DealPly به طور کلی از طریق نرمافزارهای مشروع و قانونی به همراه ابزارهای تبلیغاتی معمول روی رایانه نصب میشود. به عنوان مثال، نمونه این آگهیافزار که توسط مرکز enSilo مورد بررسی قرار گرفت به همراه نرمافزار ویرایش تصاویر وارد رایانه مورد نظر شد.
زمانی که این آگهیافزار اجرا میشود، به صورت مخفیانه اجزای خود را از طریق دایرکتوری %AppData% در سیستم عامل ویندوز نصب میکند. آگهیافزار DealPly همچنین خود را به سیستم Windows Task Scheduler اضافه میکند تا بتواند به صورت خودکار هر ساعت اجرا شود.
هر زمان که ابزارهای خودکار ویندوز اجرا میشوند این آگهیافزار با سرور فرمان-و-کنترل (C2) خود ارتباط برقرار میکند و سپس یک درخواست رمزگذاری شده را از طریق سیستم HTTP ارسال میکند.