පසුගිය දින වල බොහෝ දෙනෙකු විසින් Facebook හරහා දැනුවත් කර තිබූ, Messenger හරහා පැතිරී ගිය virus එක ගැන සමහර විට මේ වන විටත් ඔබ දැනුවත් ඇති.

කොහොම නමුත් මේ virus එක පිළිබඳව Security researcher කෙනෙකු වන Osanda Malith සහෝදරයා විසින් සිදු කරන ලද පරීක්ෂණයක ප්‍රතිඵලයක් ලෙස මේ වන විට එම virus එකේ හැසිරීම පිළිබඳව සම්පූර්ණයෙන්ම පාහේ තොරතුරු හෙළි කරගැනීමට සමත් වී තිබෙනවා.

AutoHotKey Malware

මේ අනුව මේ virus එක AutoHotKey language එක භාවිතා කරමින් Windows මෙහෙයුම් පද්ධතිය ඉලක්ක කරගෙන නිර්මාණය කර ඇති අතර ඉහත image එකේ පෙන්වා ඇති ආකාරයට video_ යන prefix එක සහ තවත් random number එකක් සහිතව .bz extension එක සහිත compressed file 2ක් ලෙස පැතිර ගොස් තිබෙනවා.

User Account Control

යම් හෙයකින් ඔබ මේ file දෙකෙන් එකක් හෝ run කිරීමට කටයුතු කළහොත් මේ හරහා ඔබේ පරිගණකයේ Windows Defender මෘදුකාංගය ක්‍රියාවිරහිත කර එය මකා දැමීමට කටයුතු කරනු ලබන අතර පරිගණකය මීළඟට restart කළ අවස්ථාවේ පටන්, User Account Control (UAC) ආරක්ෂක පද්ධතිය ද disable කර දැමීමට කටයුතු කරනු ලබනවා.

Windows Defender මෘදුකාංගය

මීට අමතරව Chrome සහ Opera යන web browser දෙක ඔබේ පරිගණකයේ install කර ඇත්නම්, එම browsers වල updating service එක ද නවතා දැමීමට කටයුතු කරන අතර whizzup.icu | nameking.icu | kebapci.icu යන වෙබ් ලිපින වලින් මීට අදාල උපදෙස් හා files download කරගනු ලබනවා.

මේ මූලික ක්‍රියාවලිය අවසන් වෙන්නේ ඔයාගේ Chrome සහ Opera web browsers වලට හොරෙන්ම extension එකකුත් install වෙලා, වගේම chrome හෝ opera open කරන හැම අවස්ථාවකදීම සහ PC එක restart කරන සෑම අවස්ථාවකදීම මේ virus එක run වෙන විදිහට අවශ්‍යය කටයුතු සකස්කිරීමෙන් අනතුරුවයි.

මෙයින් පසුව විටින් විට ඉහත සඳහන් කළ hostname වලින් අලුතින් උපදෙස් ලබා දී ඇත්දැයි පරීක්ෂා කර බලමින් හැකර්වරයා විසින් මීළඟට සිදු කළ යුතු දේ පිළිබඳව උපදෙස් ලබා දෙන තුරු බලා සිටීමට මේ malware program එක කටයුතු කරනවා.


Windows මෙහෙයුම් පද්ධතියේ ආරක්ෂාව වෙනුවෙන් තිබෙන Windows Defender මෘදුකාංගය ඉවත් කිරීමත්, UAC ආරක්ෂක පද්ධතිය disable කිරීමත් සිදු කිරීමේ හැකියාව තිබෙන program එකකට ඔබේ පරිගණකයේ කළ නොහැකි වෙනත් කිසිවක් තිබේ යැයි සිතීම පවා අපහසු වන අතර හැකර්වරයා විසින් අණ කරනු ලබන ඕනෑම ක්‍රියාවක් සිදු කිරීමට මෙයට හැකියාව තිබෙනවා.

මේ virus එක මගේ PC එකට infect වෙලා ද?

මේක දැනගන්න ක්‍රම කිහිපයක් තියෙනවා. මුලින්ම ඔයාට කවුරුහරි අර උඩ image එකේ තියෙන විදිහේ attachments messenger හරහා හරි වෙන විදිහකින් හරි ආවද කියන එක මතක් කරලා බලන්න.

ඒ වගේම ඒවා open කරලා බැලුවා නම්, එහෙමත් නැත්තම් ඔයාගේ messenger එක හරහා ඔයාගේ යාළුවන්ට මේ වගේ messages ගිහින් තියෙනවා නම්, මේ virus එක ඔයාගේ පරිගණකයට infect වෙලා තිබෙන බව අපිට අනුමාන කරන්න පුළුවන්.

ඒ වගේම Windows defender service එක වැඩ කරන්නේ නැතිනම්, UAC එකෙන් නිතරම වගේ එන කරදරකාරී Confirmation messages දැන් දකින්න නැත්තම්, ඉක්මණටම ඔයාගේ desktop එකේ හරි, start menu එකේ හරි තිබෙන Google Chrome shortcut එකේ properties වලට ගිහින් බලන්න, Target කියන field එකේ

Google Chrome shortcut properties

chrome.exe කියන කොටසට පසුව පහත ආකාරයේ තවත් commands කිහිපයක් එකතු වෙලා තියෙනවාද කියන කාරණය. (Opera shortcut එක හරහා ද මේ ආකාරයෙන්ම පරීක්ෂා කර බැලිය හැක.)

"C:\Program Files\Google\Chrome\Application\chrome.exe" --enable-automation --disable-infobars --load-extension="C:\Documents and Settings\haxor\Application Data\ServiceApp"

එහෙම නම් ඔයත් මේ virus එක infect වුණු පරිගණකයක සාඩම්බර හිමිකරුවෙක් වන අතර පහලින් තිබෙන උපදෙස් අනුගමනය කර හැකි ඉක්මණින් ආරක්ෂිත ක්‍රියාමාර්ග ගැනීම ඉතාමත් නුවණට හුරු ක්‍රියාවක් වෙනවා.

කොහොමද මේකෙන් ආරක්ෂා වෙන්නේ?

මේ malware එක ඉවත් කරන්න one click solution එකක් හෝ ඉතාමත් පහසු ක්‍රමයක් තවමත් නොමැති අතර විශේෂයෙන්ම මේ හරහා Windows Defender මකා දැමීම වැනි කටයුතු සිදු කරන බැවින් නැවතත් එය යථා තත්ත්වයට පත් කිරීමට නම් මෙය ඉවත් කිරීමෙන් අනතුරුව අවම වශයෙන් Windows repair කිරීමක් සිදු කළ යුතු වෙනවා.


මේ virus එක අදාල හැකර්වරයා විසින් ඊළඟට කරන්න ඕන දේ ගැන කියනතුරු බළාගෙන ඉන්නවා කියලා මම කලින් කිවුවා මතක ඇති. ඉතින් මේකට තාවකාලික විසඳුමක් විදිහට මේ program එක හැකර්වරයා සමඟ සම්බන්ධ කරන domain ත්‍රිත්වය අවහිර කර දමන්නට අපිට හැකියාව තිබෙනවා.

ඔයා Windows host file එක ගැන දන්න කෙනෙක් නම්, පහළ තිබෙන code එක host file එකේ අන්තිමට paste කරලා save කරන්න. (මේ සඳහා භාවිතා කරන text editor එක Run as Administrator ලෙස run කිරීම අනිවාර්යය වෙනවා.)

127.0.0.1	nameking.icu
127.0.0.1	whizzup.icu
127.0.0.1	kebapci.icu

එහෙමත් නැතිනම්, මේ file එක download කරලා, පහළ තියෙන path එකට paste කරන්න.

C:\Windows\System32\drivers\etc

ඔයාගේ Operating system එක install කරලා තියෙන්නේ C drive එකේ නෙවෙයි නම්, ඊට අදාල drive එකේ අදාල තැනට මේ file එක copy කරලා paste කරගන්න.

මේ හරහා හැකර්වරයා සහ virus එක අතර තිබෙන සම්බන්ධතාවය අවහිර කිරීම පමණක් සිදු කරන අතර virus එක ඉවත් නොවන නමුත් ඉදිරියේදී මේ virus එක හරහා සිදු විය හැකි අනතුරුදායක තත්ත්වයන්ගෙන් ඔබව ආරක්ෂා වනු ඇත.

ඒ වගේම හැකි නම්, Chrome සහ Opera shortcut වල properties වලට ගිහින්, Target කියන field එකේ chrome.exe"/opera.exe" වලට පසුව තිබෙන සියළුම කොටස් ඉවත් කර save කරන්න.

ඔබගේ සියළුම දත්ත backup කර හැකියාවක් තිබෙනවා නම් පරිගණකය format කරගෙන විධිමත් virus guard එකක් ස්ථාපනය කරගැනීම හරහා ආරක්ෂාව තහවුරු කරගත හැකි වෙනවා.

ඔබට අවශ්‍යය තරම් තාක්ෂණික දැනුම තිබෙනවා නම් Osanda Malith සහෝදරයා විසින්  සටහන් කර තිබෙන මේ malware එකෙහි ක්‍රියාකාරීත්වය දෙස අවධානය යොමු කර virus එක විසින් වෙනස් කරන registry keys සහ අලුතින් නිර්මාණය කරනු ලබන files, extensions ඉවත් කර operating system එක නැවතත් යථා තත්ත්වයට ගැනීමට හැකියාව තිබෙනවා.

මේ ගැන වැඩිදුර විස්තර දැනගැනීම සඳහා OsandaMalith Blog එක භාවිතා කළ හැකි අතර මේ පිළිබඳව තොරතුරු උපුටාගැනීමට අවස්ථාව ලබා දීම වෙනුවෙන් ඔහුට Techie Team එකේ ස්තූතිය පිරිනමන්නෙමු.