“تروجان” سوري جديد يحمل إسم “تفاصيل البث المباشر”

دلشاد عثمان

 خاص لسايبر ارابز

تم إرسال ” تروجان” على هيئة ملف PDF يحمل إسم “تفاصيل البث المباشر” ليلة 15 نيسان/أبريل الحالي، وذلك من خلال حساب “السكايب” المخترق التابع لقناة “سوريا الشعب”. يحمل الملف رمز Adobe Acrobat، ويُقصد من ورائه إيهام الناشطين أنه يحتوي على تعليمات توضيحيّة حول إجراء بثٍّ تلفزيوني مباشر.

يحمل الملف لاحقة SCR الخاصة بحافظة الشاشة(Screensaver) ، حجمه 1 ميغا بايت، ويتم إرساله وتداوله عبر مجلد مضغوط (RAR) بعد أن تم تلقّيه من بعض الناشطين من حساب القناة المسروق.

في البداية، يظهر الملف كالشكل التالي ، يوجد اختلاف طفيف ما بين شكل ملف الـ PDF  وما بين شكل هذا الملف و يظهر بكل وضوح أنّه ملف مزور.

عند فتح الملف، تظهر بالفعل معلوماتٌ خاصةٌ بالبث المباشر، بينما يبدأ عمل “التروجان” في الخلفية.

يتم تشغيل الملف svchost.exe  في الخلفية تحت صلاحيات المستخدم الحالي، علماً أنه في الحالة الطبيعية يكون الملف موجوداً ولكن ضمن الصلاحيات التشغيلية لـ System . بإمكانكم إيجاد الملف على الشكل التالي في الـ  Task Manager

مع الإشارة إلى أنّ إسم المستخدم ( (User Nameفي هذه الحالة هو Owner. وفي فحص سريع عبر الأمر netstat –a  تظهر أدناه قائمة المنافذ والتطبيقات المفتوحة .

يظهر في السطر التاسع المشار إليه باللون الأحمر، أنّ المنفذ 778  مفتوح وقد قام بإنشاء اتصال مع عنوان الـ:IP  216.6.0.28 الذي تعود ملكيّته  بحسب موقع Whois  إلى “المؤسسة العامة للإتصالات السورية”، وهو الخادم نفسه الذي استُخدم مع “التروجان” الذي نشر أول مرة وقامت الـ CNN  بنشر تحقيق كاملٍ عنه.

هذا “التروجان” هو من الفصيلة الأولى نفسها التي انتشرت وهو مطور عن التطبيق Darkcomet RAT  لذا قمنا باستخدام برنامج المعالجة الأساسي الذي طوّره مصمّم التطبيق الأخير، بعد أن اعتذر إلى الشعب السوري. بإمكانكم تحميله عبر الرابط التالي :

http://www.brothersoft.com/darkcomet-rat-remover-download-489053.html

بعدها، قمنا بعملية مسح لنجد تحذيراً حول وجود “تروجان” مطور من الـ DarkComet  في الملف svcHost.exe .

يرجى في حال استقبالكم أيّ ملفٍ مشبوه مراسلتنا عبر موقع “سايبر أرابز” من أجل تحليله ونشر الحلول للتخلص منه.

Share

One thought on ““تروجان” سوري جديد يحمل إسم “تفاصيل البث المباشر”

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.