به گزارش ایسنا، به نظر میرسد این بدافزارها طوری طراحی شدهاند که کاملاً معتبر هستند.
هر دو بهروزرسانی مذکور توسط گواهینامههای معتبر امضای کد VeriSign امضا شدهاند. این مسأله بیسابقه نیست، اما استفاده بدافزار نویسان از گواهینامههای ارائه دهنده گرانقیمتی مانند VeriSign غیرمعمول است. سرویسهای احراز هویت VeriSign اکنون بخشی از سایمانتک است.
این بهروزرسانی جعلی کروم از لوگویی مشابه کروم واقعی استفاده میکند، ولی به راحتی از لوگوی اصلی قابل تشخیص است. صفحه مربوطه به درستی نسخه کروم در حال اجرا برروی سیستم قربانی را شناسایی میکند و پیغامی مبنی بر احتمال بهروز نبودن مرورگر کروم به کاربر نمایش میدهد.
نام فایل مزبور Chrome_Security_Plugin_Setup.exe و حجم آن 1.74 مگابایت است. اطلاعات فایل آن را تحت عنوان Express Install نسخه 3.7.1.0 معرفی میکند. منتشر کننده این فایل نیز در گواهینامه امضای VeriSign به نام TINY INSTALLER ثبت شده است.
به گزارش VirusTotal در صبح جمعه، پنج محصول از کل 48 محصولی که این مجموعه با آن کار میکند، این فایل را شناسایی کردهاند. Fortinet و ESET آن را تحت عنوان W32/Kryptik میشناسند.
بهروزرسانی جعلی ادوب اندکی ناواضح بوده و به کاربر پیغامی مبنی بر لزوم بهروزرسانی Media Player میدهد، اما ظاهری شبیه به بهروزرسانیهای ادوب دارد.
بنا بر اعلام مرکز ماهر، نام فایل Flash Player 12.exe بوده و حجم آن 814 کیلوبایت است. منتشر کننده این فایل در هدر و همچنین در گواهینامه امضای VeriSign تحت عنوان Air Software معرفی شده و نام محصول نیز Adobe Flash Player نسخه 2.0.4.54 است. 9 شرکت از 48 شرکت آنتیویروس که VirusTotal با آنها کار میکند، این فایل را اغلب به عنوان تبلیغافزار شناسایی کردهاند.