মো. ফারুক হোসেন
উইন্ডোজ কম্পিউটারের সঙ্গে যুক্ত প্রিন্টার সম্প্রতি এক নতুন ধরনের ভাইরাসে আক্রান্ত হচ্ছে। এটির নাম ট্রোজান মিলিসেনসো (Trojan Milicenso)। এই ভাইরাস আক্রান্ত কম্পিউটার থেকে প্রিন্ট দিলে প্রিন্টারে স্বয়ংক্রিয়ভাবে অপ্রয়োজনীয় ডেটাসহ পেজ প্রিন্ট হতে থাকে। সাম্প্রতিক এই তথ্যটি জানিয়েছে কম্পিউটার সিকিউরিটি গবেষক অ্যান্টিভাইরাস ফার্ম-সিমেনটেক।
গত জুনের মাঝামাঝিতে স্যান্স (SANS) ইন্টারনেট স্টর্ম সেন্টার (ISC) প্রিন্ট ভাইরাসের এই বিষয়টি পর্যবেক্ষণ করে এটিকে প্রিন্ট বম্ব হিসেবে আখ্যায়িত করেছিল। তারা জানিয়েছে, এই প্রিন্ট বম্ব এক্সিকিউটেবল ফাইলের কনটেম্লট প্রিন্ট করে বলে মনে হচ্ছে। স্যান্স আইএসসির বিশেষজ্ঞরা প্রিন্ট করা ফাইলের একটি কপি পরীক্ষা-নিরীক্ষা করে প্রকাশ করেছিল যে, এটি একটি অ্যাডওয়্যার প্রোগ্রামের অংশ। অ্যাডওয়্যার হলো এমন একটি প্রোগ্রাম, যা অথোরাইজেশন ছাড়াই কোনো বিজ্ঞাপন ডিসপ্লে করে। কিছু অ্যান্টিভাইরাস অ্যাডওয়্যারকে অ্যাডওয়্যার ডট ইয়োরোজো (Adware.Eorezo) হিসেবে শনাক্ত করে।
সিমেনটেকের বিশেষজ্ঞরাও আনঅথোরাইজ প্রিন্ট আউটের রিপোর্ট বিশ্লেষণ করেছে। তারাও জানিয়েছে, আক্রান্ত কম্পিউটারে অ্যাডওয়্যার ইয়োরোজো ফাইল রয়েছে ট্রোজান ডট মিলিসেনসো রূপে। ট্রোজান মিলিসেনসো প্রথম আবির্ভূত হয়েছিল ২০১০ সালে। তবে গত দুই সপ্তাহ ধরে এর প্রাদুর্ভাব নতুন করে দেখা দিয়েছে বলে নিজেদের ব্লগ স্পটে প্রকাশ করেছে সিমেনটেক সিকিউরিটি রেসপন্স টিম। ইউরোপ ও দক্ষিণ আমেরিকার পর যুক্তরাষ্ট্র ও ইন্ডিয়াতেও তাদের টেলিমেট্রি ডেটা সবচেয়ে বেশি ক্ষতিগ্রস্ত হচ্ছে বলে জানিয়েছেন সিমেনটেকের গবেষকেরা। তারা মনে করেন, ইউজারকে ফ্রেঞ্চ ল্যাঙ্গুয়েজে রি-ডিক্টেকারি অ্যাডওয়্যার ইয়োরেজোই ট্রোজান মিলিসেনসো রূপে আবির্ভূত হয়েছে ব্যবহারকারীকে ধোকা দেয়ার জন্য। তারা আরও বলেছেন, ট্রোজান মিলিসেনসো বিভিন্নভাবে ছড়াতে পারে। যেমন, ক্ষতিকারক ইমেইল অ্যাটাচমেন্ট হিসেবে, কোনো ওয়েবসাইট থেকে ডাউনলোড অথবা সোশ্যাল ইঞ্জিনিয়ারিং স্ক্যাম দ্বারা ভুয়া কোডেক বিজ্ঞাপন হিসেবে।
কম্পিউটারে আক্রমণ করার পর এই ভাইরাস অ্যাডওয়্যার ইয়োরেজো ফাইলের একটি কপি ডট এসপিএল (.spl) এক্সটেনশন হিসেবে বিভিন্ন নামে উইন্ডোজ প্রিন্টার স্পুল ডিরেক্টরিতে রেখে দেয়। উল্লেখ্য, ডট এসপিএল হলো উইন্ডোজ প্রিন্টার স্পুল ফাইল। এটি উইন্ডোজের %SystemRoot%\System32\Spool\Printers লোকেশনে থাকে। ডট এসপিএল এক্সটেনশনের ফাইল হওয়া সত্ত্বেও ভাইরাস আক্রান্ত ফাইলটি প্রকৃতপক্ষে একটি এক্সিকিউটেবল ফাইল। সাধারণত প্রিন্ট করা হবে এমন ফাইলগুলোকে অস্থায়ীভাবে ধারণ করে উইন্ডোজের স্পুল ডিরেক্টরি, যদিও কিছু প্রিন্টার কাস্টম স্পুল ডিরেক্টরি ব্যবহারের সুবিধা দেয়। তবে বেশিরভাগ কনফিগারেশনই উইন্ডোজের ডিফল্ট স্পুল ডিরেক্টরি ব্যবহার করে। এর ফলে সংক্রমিত কম্পিউটারের সঙ্গে যুক্ত প্রিন্টার নতুন মিলিসেনসো ভাইরাস দ্বারা আক্রান্ত হয় এবং স্বয়ংক্রিয়ভাবে ডট এসপিএল ফাইলের কনটেম্লট প্রিন্ট করে। অনেক সময় পেপার শেষ না হওয়া পর্যন্ত প্রিন্ট হতে থাকে।
এ পর্যন্ত যতটুকু পর্যবেক্ষণ করা হয়েছে তার ওপর ভিত্তি করে বলা যায়, বিকৃত প্রিন্ট আউট ইনফেকশন ভেক্টরের পার্শ্বপ্রতিক্রিয়া বলেই মনে হচ্ছে; অর্থাত্, এই ভাইরাস প্রোগ্রামের লেখক তার লক্ষ্যে পুরোপুরি সফল হতে পারেনি বলে জানিয়েছেন সিমেনটেকের গবেষকরা। অপরদিকে স্যান্স আইএসসির বিশেষজ্ঞরা বলেছেন, এই ট্রোজান প্রোগ্রামটিকে খুবই কমসংখ্যক অ্যান্টিভাইরাস শনাক্ত করতে পারে। তাই আনঅথোরাইজড কোনো প্রিন্টের বৈশিষ্ট্য পরিলক্ষিত হলে ট্রোজান মিলিসেনসো এবং অ্যাডওয়্যার ইয়োরেজোকে শনাক্ত করতে পারে এমন অ্যান্টিভাইরাস দিয়ে সেটিকে স্ক্যান করার পরামর্শ দেয়া হয়েছে।
farooque.hossain@thakral-bd.com
গত জুনের মাঝামাঝিতে স্যান্স (SANS) ইন্টারনেট স্টর্ম সেন্টার (ISC) প্রিন্ট ভাইরাসের এই বিষয়টি পর্যবেক্ষণ করে এটিকে প্রিন্ট বম্ব হিসেবে আখ্যায়িত করেছিল। তারা জানিয়েছে, এই প্রিন্ট বম্ব এক্সিকিউটেবল ফাইলের কনটেম্লট প্রিন্ট করে বলে মনে হচ্ছে। স্যান্স আইএসসির বিশেষজ্ঞরা প্রিন্ট করা ফাইলের একটি কপি পরীক্ষা-নিরীক্ষা করে প্রকাশ করেছিল যে, এটি একটি অ্যাডওয়্যার প্রোগ্রামের অংশ। অ্যাডওয়্যার হলো এমন একটি প্রোগ্রাম, যা অথোরাইজেশন ছাড়াই কোনো বিজ্ঞাপন ডিসপ্লে করে। কিছু অ্যান্টিভাইরাস অ্যাডওয়্যারকে অ্যাডওয়্যার ডট ইয়োরোজো (Adware.Eorezo) হিসেবে শনাক্ত করে।
সিমেনটেকের বিশেষজ্ঞরাও আনঅথোরাইজ প্রিন্ট আউটের রিপোর্ট বিশ্লেষণ করেছে। তারাও জানিয়েছে, আক্রান্ত কম্পিউটারে অ্যাডওয়্যার ইয়োরোজো ফাইল রয়েছে ট্রোজান ডট মিলিসেনসো রূপে। ট্রোজান মিলিসেনসো প্রথম আবির্ভূত হয়েছিল ২০১০ সালে। তবে গত দুই সপ্তাহ ধরে এর প্রাদুর্ভাব নতুন করে দেখা দিয়েছে বলে নিজেদের ব্লগ স্পটে প্রকাশ করেছে সিমেনটেক সিকিউরিটি রেসপন্স টিম। ইউরোপ ও দক্ষিণ আমেরিকার পর যুক্তরাষ্ট্র ও ইন্ডিয়াতেও তাদের টেলিমেট্রি ডেটা সবচেয়ে বেশি ক্ষতিগ্রস্ত হচ্ছে বলে জানিয়েছেন সিমেনটেকের গবেষকেরা। তারা মনে করেন, ইউজারকে ফ্রেঞ্চ ল্যাঙ্গুয়েজে রি-ডিক্টেকারি অ্যাডওয়্যার ইয়োরেজোই ট্রোজান মিলিসেনসো রূপে আবির্ভূত হয়েছে ব্যবহারকারীকে ধোকা দেয়ার জন্য। তারা আরও বলেছেন, ট্রোজান মিলিসেনসো বিভিন্নভাবে ছড়াতে পারে। যেমন, ক্ষতিকারক ইমেইল অ্যাটাচমেন্ট হিসেবে, কোনো ওয়েবসাইট থেকে ডাউনলোড অথবা সোশ্যাল ইঞ্জিনিয়ারিং স্ক্যাম দ্বারা ভুয়া কোডেক বিজ্ঞাপন হিসেবে।
কম্পিউটারে আক্রমণ করার পর এই ভাইরাস অ্যাডওয়্যার ইয়োরেজো ফাইলের একটি কপি ডট এসপিএল (.spl) এক্সটেনশন হিসেবে বিভিন্ন নামে উইন্ডোজ প্রিন্টার স্পুল ডিরেক্টরিতে রেখে দেয়। উল্লেখ্য, ডট এসপিএল হলো উইন্ডোজ প্রিন্টার স্পুল ফাইল। এটি উইন্ডোজের %SystemRoot%\System32\Spool\Printers লোকেশনে থাকে। ডট এসপিএল এক্সটেনশনের ফাইল হওয়া সত্ত্বেও ভাইরাস আক্রান্ত ফাইলটি প্রকৃতপক্ষে একটি এক্সিকিউটেবল ফাইল। সাধারণত প্রিন্ট করা হবে এমন ফাইলগুলোকে অস্থায়ীভাবে ধারণ করে উইন্ডোজের স্পুল ডিরেক্টরি, যদিও কিছু প্রিন্টার কাস্টম স্পুল ডিরেক্টরি ব্যবহারের সুবিধা দেয়। তবে বেশিরভাগ কনফিগারেশনই উইন্ডোজের ডিফল্ট স্পুল ডিরেক্টরি ব্যবহার করে। এর ফলে সংক্রমিত কম্পিউটারের সঙ্গে যুক্ত প্রিন্টার নতুন মিলিসেনসো ভাইরাস দ্বারা আক্রান্ত হয় এবং স্বয়ংক্রিয়ভাবে ডট এসপিএল ফাইলের কনটেম্লট প্রিন্ট করে। অনেক সময় পেপার শেষ না হওয়া পর্যন্ত প্রিন্ট হতে থাকে।
এ পর্যন্ত যতটুকু পর্যবেক্ষণ করা হয়েছে তার ওপর ভিত্তি করে বলা যায়, বিকৃত প্রিন্ট আউট ইনফেকশন ভেক্টরের পার্শ্বপ্রতিক্রিয়া বলেই মনে হচ্ছে; অর্থাত্, এই ভাইরাস প্রোগ্রামের লেখক তার লক্ষ্যে পুরোপুরি সফল হতে পারেনি বলে জানিয়েছেন সিমেনটেকের গবেষকরা। অপরদিকে স্যান্স আইএসসির বিশেষজ্ঞরা বলেছেন, এই ট্রোজান প্রোগ্রামটিকে খুবই কমসংখ্যক অ্যান্টিভাইরাস শনাক্ত করতে পারে। তাই আনঅথোরাইজড কোনো প্রিন্টের বৈশিষ্ট্য পরিলক্ষিত হলে ট্রোজান মিলিসেনসো এবং অ্যাডওয়্যার ইয়োরেজোকে শনাক্ত করতে পারে এমন অ্যান্টিভাইরাস দিয়ে সেটিকে স্ক্যান করার পরামর্শ দেয়া হয়েছে।
farooque.hossain@thakral-bd.com
Leave a comment