تحذير: ملفات خبيثة تستهدف الناشطين بعد عودة الانترنت إلى سورية

بعد قيام النظام السوري بقطع الانترنت في كافة أنحاء سورية لمدة تزيد عن ثلاثة أيام، يعود الانترنت وتعود معه حملة شعواء من “شبيحةالنظام الإلكترونيين، حيث يقومون بنشر ملفات خبيثة بشكل واسع جداً بأسماء مختلفة، مثل:

اسماء بعض المسلحين في سورية والخارج المطلوبين لدى النظام السوري2012_m-fdp.scr”

اسماء بعض الممولين في سوريا والخارج المطلوبين لدى النظام السوري_m-fdp.scr”….

ومن أجل التمويه يقومون بوضع أيقونة ملف PDF الدال على قارئ الكتب على الملف ونشرها على هذا الأساس، وعندما تضغط عليها يقوم الملف بفتح ملف PDF يحوي أسماء المطلوبين بالفعل (ربما غير حقيقية)، كما أن المخترق قام بتطبيق خدعة بعكس الأحرف عن طريق ترميز اليونيكود تجعلك تظن أن اللاحقة هي PDF بالفعل كما في الصورة:

التروجان

هذا الملف هو بالحقيقة بلاحقة scr التنفيذية (صيغة الشاشة المؤقتة) والتي تقوم بعد تشغيل الملف باستخراج ثلاثة ملفات وحفظها على جهازك وهي:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\system.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\StartMenu.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\اسماء بعض الممولين في سوريا والخارج المطلوبين لدى النظام السوري.pdf

هذه الملفات من صنع تروجان يسمّى DarkComet RAT الشهير، وعندما تبدأ بالكتابة على الكيبورد يقوم التروجان بتسجيل كل ضغطة زر وإرسالها إلى المخترق، (على المسار التالي: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dclogs.sys)، كما باستطاعة المخترق تشغيل الكاميرا عن بعد وتصوير الشاشة وتصفح ملفات جهازكالخ والعديد من العمليات الأخرى التي يستطيع تطبيقها على جهازك بدون أن تشعر.

هذا التروجان يقوم بالتواصل مع IP داخل سورية (يعود لشركة الاتصالات السورية STE) وهو: 216.6.0.28 على المنفذ: 885.

هذا التروجان تستطيع بعض مضادات الفايروسات كشفه والتقاطه، لكنه مشفّر من أغلبها.

الآن لنفرض أنك بالخطأ قمت بتشغيل التروجان، كيف تستطيع التخلص منه؟

قام مبرمج التروجان ببرمجة أداة لكشفه وحذفه بشكل كامل، على الرابط DarkComet RAT Removal Tool، لكن هذا لا يكفي، لأنه ربما قد يكون المخترق قد قام بتنصيب تطبيقات خبيثة أخرى بشكل احتياطي، لضمان سيطرته بجهازك إذا قمت بحذف التروجان.

لذلك يُنصح بتهيئة نظام التشغيل وإعادة تنصيبه.

المصدر: EFF

Advertisements

Posted on 06/12/2012, in Security and tagged , , , , , , , , . Bookmark the permalink. أضف تعليق.

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s

%d مدونون معجبون بهذه: