18 04 2012
“تروجان” سوري جديد يحمل إسم “تفاصيل البث المباشر”
دلشاد عثمان
خاص لسايبر ارابز
تم إرسال ” تروجان” على هيئة ملف PDF يحمل إسم “تفاصيل البث المباشر” ليلة 15 نيسان/أبريل الحالي، وذلك من خلال حساب “السكايب” المخترق التابع لقناة “سوريا الشعب”. يحمل الملف رمز Adobe Acrobat، ويُقصد من ورائه إيهام الناشطين أنه يحتوي على تعليمات توضيحيّة حول إجراء بثٍّ تلفزيوني مباشر.
يحمل الملف لاحقة SCR الخاصة بحافظة الشاشة(Screensaver) ، حجمه 1 ميغا بايت، ويتم إرساله وتداوله عبر مجلد مضغوط (RAR) بعد أن تم تلقّيه من بعض الناشطين من حساب القناة المسروق.
في البداية، يظهر الملف كالشكل التالي ، يوجد اختلاف طفيف ما بين شكل ملف الـ PDF وما بين شكل هذا الملف و يظهر بكل وضوح أنّه ملف مزور.
عند فتح الملف، تظهر بالفعل معلوماتٌ خاصةٌ بالبث المباشر، بينما يبدأ عمل “التروجان” في الخلفية.
يتم تشغيل الملف svchost.exe في الخلفية تحت صلاحيات المستخدم الحالي، علماً أنه في الحالة الطبيعية يكون الملف موجوداً ولكن ضمن الصلاحيات التشغيلية لـ System . بإمكانكم إيجاد الملف على الشكل التالي في الـ Task Manager
مع الإشارة إلى أنّ إسم المستخدم ( (User Nameفي هذه الحالة هو Owner. وفي فحص سريع عبر الأمر netstat –a تظهر أدناه قائمة المنافذ والتطبيقات المفتوحة .
يظهر في السطر التاسع المشار إليه باللون الأحمر، أنّ المنفذ 778 مفتوح وقد قام بإنشاء اتصال مع عنوان الـ:IP 216.6.0.28 الذي تعود ملكيّته بحسب موقع Whois إلى “المؤسسة العامة للإتصالات السورية”، وهو الخادم نفسه الذي استُخدم مع “التروجان” الذي نشر أول مرة وقامت الـ CNN بنشر تحقيق كاملٍ عنه.
هذا “التروجان” هو من الفصيلة الأولى نفسها التي انتشرت وهو مطور عن التطبيق Darkcomet RAT لذا قمنا باستخدام برنامج المعالجة الأساسي الذي طوّره مصمّم التطبيق الأخير، بعد أن اعتذر إلى الشعب السوري. بإمكانكم تحميله عبر الرابط التالي :
http://www.brothersoft.com/darkcomet-rat-remover-download-489053.html
بعدها، قمنا بعملية مسح لنجد تحذيراً حول وجود “تروجان” مطور من الـ DarkComet في الملف svcHost.exe .
يرجى في حال استقبالكم أيّ ملفٍ مشبوه مراسلتنا عبر موقع “سايبر أرابز” من أجل تحليله ونشر الحلول للتخلص منه.
بالمنفى!! وطن ليس للإيجار .. ولا للإستعارة
راعئع , الف شكر