“تروجان” سوري جديد يحمل إسم “تفاصيل البث المباشر”

17 نيسان, 2012 في 9:25 م

دلشاد عثمان
تم إرسال ” تروجان” على هيئة ملف PDF يحمل إسم “تفاصيل البث المباشر” ليلة 15 نيسان/أبريل الحالي، وذلك من خلال حساب “السكايب” المخترق التابع لقناة “سوريا الشعب”. يحمل الملف رمز Adobe Acrobat، ويُقصد من ورائه إيهام الناشطين أنه يحتوي على تعليمات توضيحيّة حول إجراء بثٍّ تلفزيوني مباشر.
يحمل الملف لاحقة SCR الخاصة بحافظة الشاشة (Screensaver) ، حجمه 1 ميغا بايت، ويتم إرساله وتداوله عبر مجلد مضغوط (RAR) بعد أنتم تلقّيه منبعض الناشطين من حساب القناة المسروق.
في البداية، يظهر الملف كالشكل التالي، يوجد اختلاف طفيف مابين شكل ملف الـ PDF ومابين شكل هذا الملف و يظهر بكل وضوح أنّه ملف مزور.

عند فتح الملف، تظهر بالفعل معلوماتٌ خاصةٌ بالبث المباشر، بينما يبدأ عمل “التروجان” في الخلفية.

يتم تشغيل الملف svchost.exe في الخلفية تحت صلاحيات المستخدم الحالي، علماً أنه في الحالة الطبيعية يكون الملف موجوداً ولكن ضمن الصلاحيات التشغيلية لـ System . بإمكانكم إيجاد الملف على الشكل التالي في الـ .Task Manager

مع الإشارة إلى أنّ إسم المستخدم (User Name) في هذه الحالة هو Owner. وفي فحص سريع عبر الأمر netstat –a تظهر أدناه قائمة المنافذ والتطبيقات المفتوحة .

يظهر في السطر التاسع المشار إليه باللون الأحمر، أنّ المنفذ 778 مفتوح وقد قام بإنشاء اتصال مع عنوان الـ: IP 216.6.0.28 الذي تعود ملكيّته بحسب موقع Whois إلى “المؤسسة العامة للإتصالات السورية”، وهو الخادم نفسه الذي استُخدم مع “التروجان” الذي نشر أول مرة وقامت الـ CNN بنشر تحقيق كاملٍ عنه.

هذا “التروجان” هو من الفصيلة الأولى نفسها التي انتشرت وهو مطور عن التطبيق Darkcomet RAT لذا قمنا باستخدام برنامج المعالجة الأساسي الذي طوّره مصمّم التطبيق الأخير، بعد أن اعتذر إلى الشعب السوري. بإمكانكم تحميله عبر الرابط التالي :

http://phrozenblog.com/?p=140

بعدها، قمنا بعملية مسح لنجد تحذيراً حول وجود “تروجان” مطور من الـ DarkComet في الملف svcHost.exe .

يرجى في حال استقبالكم أيّ ملفٍ مشبوه مراسلتنا عبر موقع “سايبر أرابز” من أجل تحليله ونشر الحلول للتخلص منه.

2 تعليقات

  1. غير معروف قال:

    طرح متالق … بارك الله فيك

  2. مركز تحميل الصور قال:

    مشكور على التحذير