كيف تحمون أنفسكم من البرمجيّات الخبيثة التي تنشرها الحكومة السوريّة

10 أيار, 2012 في 7:41 ص

المقال التالي مترجم من اللغة الإنكليزية. المقال الأصلي متوفر على موقع Electronic Frontier Foundation .

بدأت تصلنا تقارير منذ بضعة أسابيع عن تروجان – وهو برنامجٌ خبيثٌ يتيح التجسّس على أجهزة الحاسوب والتلاعب بها – يُسمّى دارك كوميت رات DarkComet RAT، يهاجم أجهزة حاسوب تعود لناشطين سوريّين. ويتيح هذا التروجان تسجيل عمل الويبكام، ومنع بعض البرامج المضادة للفيروسات من القدرة على تنبيه المستخدمين من إصابة أجهزتهم، وتسجيل الطباعة على لوحة المفاتيح، وسرقة كلمات السرّ، بالإضافة إلى أنشطةٍ أخرى. واتّضح أن هذا التروجان يقوم بإرسال المعلومات إلى خادمٍ يحمل عنواناً  IP Address سورياً. يمكنكم الإطّلاع على التقرير والتوصيات ذات الصلة التي وضعتها شركة سيمانتك Symantec هنا.

أمّا حالياً، فقد رأينا تقارير عن برنامجٍ خبيثٍ آخر يسمى إكستريم رات Xtreme RAT، وهو يقوم بإرسال المعلومات إلى الخادم ذي العنوان نفسه في سوريا، كما أنّه يبدو أنّ ظهوره يسبق ظهور الدارك كوميت رات. تشير التقارير إلى أنّ هذا التروجان ينتشر عن طريق البريد الإلكتروني وبرامج الدردشة، وأنه يتمّ استعماله بهدف تسجيل الضربات على لوحة المفاتيح وأخذ صورٍ للشاشة في الحاسوب المصاب، ومن المحتمل أيضاً أن يكون قد تمّ اختراق خدماتٍ أخرى على أجهزة الحاسوب المصابة.

يتوجّب عليكم اتخاذ خطواتٍ معينةٍ من أجل حماية جهازكم من الإصابة، وهي ألا تقوموا بتشغيل أية برمجيّات حصلتم عليها عن طريق البريد الإلكتروني، وألا تقوموا بتنصيب أي برنامجٍ لم تحصلوا عليه عن طريق التصفّح الآمن (عبر استخدام HTTPS)، أو برنامجٍ حصلتم عليه من مصادر غير معروفة، حتى إذا كان قد نُصح باستعماله عبر الدعايات التي تظهر في النوافذ المنبثقة Pop-up Ads أو من قبل أحد الأصدقاء. كما وتنصح مؤسسة الحدود الإلكترونية EFF بتحديث نظام التشغيل في جهاز الحاسوب الخاص بكم بشكلٍ دائمٍ، وذلك عبر تحميل التحديثات الأمنية التي توفّرها الشركة المنتجة لنظام التشغيل. فلا تقوموا باستخدام نظام تشغيلٍ قديمٍ لا توفّر له الشركة المنتجة التحديثات المطلوبة.

إن إيجاد أيٍّ من الملفات أو الإجراءات التالية في جهاز الحاسوب الخاص بكم يظهر أنّه معرّض للتهديد من التروجان المذكور، إكستريم رات، وأيّة علاماتٍ إضافيةٍ هي دليلٌ أقوى على وجود هذا التهديد.

كيف تكتشفون عمل إكستريم رات لدى استخدامكم نظام ماكروسوفت ويندوز (Microsoft (Windows:

1 – توجّهوا إلى منظم المهمات في الويندوز Windows Task Manager عبر الضغط على Ctrl+Shift+Esc، ثم أنقروا على زر الإجراءات Processes

إبحثوا عن إجراء إسمه svchost.exe وهو يعمل تحت إسم المستخدم الخاص بكم. في المثال التالي، يُشار إلى المستخدم باسم Administrator.

2- إفتحوا مستندات (Documents) ومن ثم مجلّد الإعدادات (Settings)؛ أنقروا على إسم المستخدم الخاص بكم في المثال الحالي الإسم هوAdministrator؛ أنقروا على جميع البرامج (All Programs)؛ أنقروا على الإقلاع (Startup). إبحثوا عن رابطٍ مشارٍ إليه بكلمة Empty، وهي العلامة أنّ الجهاز الخاص بكم مصابٌ بهذا التروجان.

3- إفتحوا مجلد مستندات وإعدادات (Documents and Settings) أنقروا على إسم المستخدم الخاص بكم (Administrator في هذا المثال)؛ إفتحوا مجلّد الإعدادات المحلية (Local Settings)، ثم مجلد الملفات المؤقتة (Temp)؛ إبحثوا عن الملفين: _$SdKdwi.bin و System.exe. إذا كان خيار إظهار تذييل الملفات (Display File Extension) مشغّلاً، سيظهرالملف تحت إسم System.exe، أما إذا كان الخيار معطّلاً، فسيظهر الإسم كالتالي System Project Up-date DMW.

4- إفتحوا مجلد مستندات وإعدادات (Documents and Settings) ثم أنقروا على إسم المستخدم الخاص بكم (Administrator في هذا المثال)؛ إفتحوا مجلد الإعدادت المحلية (Local Settings)، إفتحوا مجلّد بيانات التطبيقات Application Data؛ إفتحوا مجلد مايكروسوفت (Microsoft)؛ إفتحوا مجلد ويندوز (Windows)؛ إبحثوا عن الملفين: fQoFaScoN.dat و. fQoFaScoN.cfg.

5- أنقروا على زر (البداية) (Start)؛ أنقروا على تشغيل (Run) ثم إطبعوا كلمة cmd لفتح نافذة التحكم، ثم إطبعوا كلمة netstat. إبحثوا في لائحة الإتصالات الفاعلة (Active Connections) عن إتصالٍ خارجٍ باتجاه ال IP Address التالي: 216.6.0.28.

ما الذي يتوجب عليكم فعله إذا كان حاسوبكم مصاباً بهذا التروجان: 

إذا كان حاسوبكم مصاباً فإنّ إزالة الملفات المذكورة أو استعمال برامج مضادة للفيروسات لإزالة هذا التروجان لا يضمن أنّ جهازكم أصبح في مأمن. إذ يمكّن هذا التروجان الجهة المهاجمة من تنفيذ نص برمجة إعتباطي في الجهاز المصاب. فلا توجد ضمانةٌ بأنّ الجهة المهاجمة لم تقم بتنصيب برمجيّات خبيثة إضافيّة أثناء سيطرتها على الجهاز.

توجد حالياً شركةٌ واحدةٌ تبيع برنامجاً مضادأً للفيروسات يستطيع أن يتعرّف على هذا التروجان. يمكنكم أن تقوموا بتحديث البرنامج المضاد للفيروسات الذي تستخدمونه، وأن تشغّلوه لإزالة هذا التروجان إذا ما ظهر. ولكنّ الإجراء الأكثر أماناً هو بالتأكيد إعادة تنصيب نظام التشغيل على جهاز الحاسوب الخاص بكم.