تروجان سوري جديد يحمل إسم تفاصيل البث المباشر

تم إرسال تروجان على هيئة ملف PDF يحمل إسم “تفاصيل البث المباشر” ليلة 15 نيسان/أبريل الحالي، وذلك من خلال حساب السكايب المخترق التابع لقناة سوريا الشعب . يحمل الملف رمز Adobe Acrobat، ويُقصد من ورائه إيهام الناشطين أنه يحتوي على تعليمات توضيحيّة حول إجراء بثٍّ تلفزيوني مباشر.
يحمل الملف لاحقة SCR الخاصة بحافظة الشاشة(Screensaver) ، حجمه 1 ميغا بايت، ويتم إرساله وتداوله عبر مجلد مضغوط (RAR) بعد أن تم تلقّيه من بعض الناشطين من حساب القناة المسروق.

في البداية، يظهر الملف كالشكل التالي ، يوجد اختلاف طفيف ما بين شكل ملف الـ PDF وما بين شكل هذا الملف و يظهر بكل وضوح أنّه ملف مزور.

عند فتح الملف، تظهر بالفعل معلوماتٌ خاصةٌ بالبث المباشر، بينما يبدأ عمل “التروجان” في الخلفية.

يتم تشغيل الملف svchost.exe  في الخلفية تحت صلاحيات المستخدم الحالي، علماً أنه في الحالة الطبيعية يكون الملف موجوداً ولكن ضمن الصلاحيات التشغيلية لـ System . بإمكانكم إيجاد الملف على الشكل التالي في الـ .Task Manager

مع الإشارة إلى أنّ إسم المستخدم User Name في هذه الحالة هو Owner. وفي فحص سريع عبر الأمر netstat –a  تظهر أدناه قائمة المنافذ والتطبيقات المفتوحة .

يظهر في السطر التاسع المشار إليه باللون الأحمر، أنّ المنفذ 778  مفتوح وقد قام بإنشاء اتصال مع عنوان الـ:IP  216.6.0.28 الذي تعود ملكيّته  بحسب موقع Whois  إلى “المؤسسة العامة للإتصالات السورية”، وهو الخادم نفسه الذي استُخدم مع “التروجان” الذي نشر أول مرة وقامت الـ CNN  بنشر تحقيق كاملٍ عنه.

هذا “التروجان” هو من الفصيلة الأولى نفسها التي انتشرت وهو مطور عن التطبيق Darkcomet RAT  لذا قمنا باستخدام برنامج المعالجة الأساسي الذي طوّره مصمّم التطبيق الأخير، بعد أن اعتذر إلى الشعب السوري لسوء استخدام برنامجه من قبل وزارة الاتصالات السورية …عفواً وزارة التروجانات السورية. وقد قمنا بشرح كيفية التعامل مع هذا التروجان ومسحه في تدوينة سابقة 

الآن قمنا بعملية فحص لنجد تحذيراً حول وجود “تروجان” مطور من الـ DarkComet  في الملف svcHost.exe . والبرنامج الخاص بمسح هذا التروجان كما ذكرنا موجود في التدوينة المسماه
هام جداً جداً لجميع الناشطين السوريين  

يرجى في حال استقبالكم أيّ ملفٍ مشبوه مراسلتنا عبر موقع  من أجل تحليله ونشر الحلول للتخلص منه. عشتم وعاشت سوريا حرة أبية….

رجاء حار جداً النشر على أوسع نطاق لتعم الفائدة وحماية جميع الأخوة الناشطين.

arabs cyber | Dlshad Othman

6 تعليقات على “تروجان سوري جديد يحمل إسم تفاصيل البث المباشر

  1. تعقيب: هام لجميع الناشطين الذين يستخدمون برنامج سكايب « مدونة itech4sy

  2. تعقيب: كيف تحمون أنفسكم من البرمجيّات الخبيثة التي تنشرها الحكومة السوريّة « مدونة itech4sy

  3. تعقيب: كيف تحمون أنفسكم من البرمجيّات الخبيثة التي تنشرها المخابرات

  4. تعقيب: كيف تحمون أنفسكم من البرمجيّات الخبيثة التي تنشرها الحكومة السوريّة | بابا عمرو

  5. بالحقيقة أنا أعرف ه>ا الباكدورز من زمااااااااااااااان و و صاحبه معي بأكثر من منتدى برمجة قبل أن أترك برمجة التروجانات و البرمجيات الخبيثة و أنصرف للحماية منها و قد نزل أداة حذفه منذ فترة طويلة
    ملاحظة مهمة أنا قمت بعمل قاعدة بيانات للبرمجيات الخبيثة المنتشرة بسوريا و بإمكاننا اضافتها و مستعد لإعطاء الود المصدري لها🙂 و هي تضم المئات (إن لم أقل الألاااااااااف)

ناقش معنا الموضوع

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s