أحدث الأخبار
تحذير: ملفات خبيثة تستهدف الناشطين بعد عودة الانترنت إلى سورية
06 December 2012 Thursday

تحذير: ملفات خبيثة تستهدف الناشطين بعد عودة الانترنت إلى سورية

يعود الانترنت وتعود معه حملة شعواء من “شبيحة” النظام الإلكترونيين، حيث يقومون بنشر ملفات خبيثة بشكل واسع جداً بأسماء مختلفة

 

بعد قيام النظام السوري بقطع الانترنت في كافة أنحاء سورية لمدة تزيد عن ثلاثة أيام، يعود الانترنت وتعود معه حملة شعواء من “شبيحة” النظام الإلكترونيين، حيث يقومون بنشر ملفات خبيثة بشكل واسع جداً بأسماء مختلفة، مثل:
 
“اسماء بعض المسلحين في سورية والخارج المطلوبين لدى النظام السوري2012_m-fdp.scr”
 
“اسماء بعض الممولين في سوريا والخارج المطلوبين لدى النظام السوري_m-fdp.scr”
 
ومن أجل التمويه يقومون بوضع أيقونة ملف PDF الدال على قارئ الكتب على الملف ونشرها على هذا الأساس، وعندما تضغط عليها يقوم الملف بفتح ملف PDF يحوي أسماء المطلوبين بالفعل (ربما غير حقيقية)، كما أن المخترق قام بتطبيق خدعة بعكس الأحرف عن طريق ترميز اليونيكود تجعلك تظن أن اللاحقة هي PDF بالفعل كما في الصورة:
 
هذا الملف هو بالحقيقة بلاحقة scr التنفيذية (صيغة الشاشة المؤقتة) والتي تقوم بعد تشغيل الملف باستخراج ثلاثة ملفات وحفظها على جهازك وهي:
 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\system.exe
 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\StartMenu.dll
 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\اسماء بعض الممولين في سوريا والخارج المطلوبين لدى النظام السوري.pdf
 
هذه الملفات من صنع تروجان يسمّى DarkComet RAT الشهير، وعندما تبدأ بالكتابة على الكيبورد يقوم التروجان بتسجيل كل ضغطة زر وإرسالها إلى المخترق، (على المسار التالي: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dclogs.sys)، كما باستطاعة المخترق تشغيل الكاميرا عن بعد وتصوير الشاشة وتصفح ملفات جهازك…الخ والعديد من العمليات الأخرى التي يستطيع تطبيقها على جهازك بدون أن تشعر.
 
هذا التروجان يقوم بالتواصل مع IP داخل سورية (يعود لشركة الاتصالات السورية STE) وهو: 216.6.0.28 على المنفذ: 885.
 
هذا التروجان تستطيع بعض مضادات الفايروسات كشفه والتقاطه، لكنه مشفّر من أغلبها.
الآن لنفرض أنك بالخطأ قمت بتشغيل التروجان، كيف تستطيع التخلص منه؟
 
قام مبرمج التروجان ببرمجة أداة لكشفه وحذفه بشكل كامل، على الرابط DarkComet RAT Removal Tool، لكن هذا لا يكفي، لأنه ربما قد يكون المخترق قد قام بتنصيب تطبيقات خبيثة أخرى بشكل احتياطي، لضمان سيطرته بجهازك إذا قمت بحذف التروجان.
 
لذلك يُنصح بتهيئة نظام التشغيل وإعادة تنصيبه.
 
دليل الثائر التقني

 

لم يتم اضافة تعليق لغاية الآن.
عناوين الاخبار الاخرى
مختارات