اکثر نرمافزارهای امنیتی بدافزار موجود در قالب پرونده VHD را تشخیص نمیدهند
ویل دورمن، تحلیلگر آسیبپذیری یک مؤسسه مهندسی نرمافزار، اخیراً متوجه شده که نرمافزار امنیتی ویندوز دیفندر (WindowsDefender) مایکروسافت به طور فعال محتوای خاصی را نادیده میگیرد.
تحت شرایط عادی، مایکروسافت با توجه به نوع پرونده، آن را آنالیز کرده و تفکیک میکند، حتی اگر یک بسته فشرده شده باشد یا قالب دیگری از پرونده بایگانی شده باشد، به طور خودکار محتوای آن را تشخیص میدهد. با کمال تعجب، مایکروسافت به طور خودکار تصاویر کلیه قالبهای دیسک سخت مجازی (VHD و VHDX) را نادیده میگیرد، حتی اگر حاوی بدافزار باشد.
فرمت دیسک سخت مجازی VHD و VHDX است. هارد دیسک مجازی ممکن است شامل محتویات دیسک سخت فیزیکی مانند پارتیشن هارد دیسک و سیستم فایل دیسک باشد. نکته مهم این است که کاربر با فرمت دیسک سخت مجازی میتواند محتوا را مستقیماً باز و مرور کند، به این معنی که مهاجم میتواند کاربر را به بارگیری بدافزار ترغیب کند. تحت شرایط عادی، چه کاربر فایل را از طریق مرورگر یا ایمیل بارگیری کند، مایکروسافت تشخیص داده و تجزیه و تحلیل خواهد کرد که آیا محتوای آن مضر است یا خیر. هنوز معلوم نیست که چرا مایکروسافت تصاویر دیسک سخت مجازی را نادیده میگیرد، اما تحقیقات نشان داده است که حداقل میتوان از تصاویر دیسک سخت مجازی به عنوان حامل بدافزار استفاده کرد.
پس از تحلیل مشکل ویندوز دیفندر، تحلیلگر آسیبپذیری “ویل دورمن” برای تست دیسک سخت مجازی به سایر موتورهای آنتی ویروس مجازی مراجعه کرد. با کمال تعجب، 55 موتور ضد ویروسی که به وبسایت VirusTotal فراخوانده شده بودند، هیچ کدام با موفقیت فایلهای مخرب موجود در دیسک سخت مجازی را شناسایی نکردند. این بدان معنی است که بیشتر نرمافزارهای امنیتی اصلی جهان، تشخیص تصاویر دیسک سخت مجازی را نادیده میگیرند، حتی اگر بدافزار موجود در آن بسیار رایج و شناخته شده باشد. بنابراین در حال حاضر، اگر یک مهاجم از یک تصویر دیسک سخت مجازی برای پخش ویروس استفاده کند، بیشتر نرمافزارهای امنیتی آن را تجزیه و تحلیل نکرده و آن را رهگیری نمیکنند.