كيف تحمون أنفسكم من البرمجيّات الخبيثة التي تنشرها الحكومة السوريّة

من Cyber Arabs

المقال التالي مترجم من اللغة الإنكليزية. المقال الأصلي متوفر على موقع مؤسسة الحدود الإلكترونية EFF .
بدأت تصلنا تقارير منذ بضعة أسابيع عن تروجان – وهو برنامج خبيث يتيح التجسّس على أجهزة الحاسوب والتلاعب بها – يُسمى دارك كوميت رات DarkComet RAT، والذي تحدثنا عن كيفية ازالته في تدوينة سابقة حيث يهاجم هذا التروجان أجهزة حاسوب تعود لناشطين سوريّين. ويتيح تسجيل عمل الويبكام، ومنع بعض البرامج المضادة للفيروسات من القدرة على تنبيه المستخدمين من إصابة أجهزتهم، وتسجيل الطباعة على لوحة المفاتيح، وسرقة كلمات السر، بالإضافة إلى أنشطةٍ أخرى. واتّضح أن هذا التروجان يقوم بإرسال المعلومات إلى خادمٍ يحمل عنواناً  IP Address سورياً. يمكنكم الإطّلاع على التقرير والتوصيات ذات الصلة التي وضعتها شركة سيمانتك Symantec هنا.

أمّا حالياً، فقد رأينا تقارير عن برنامجٍ خبيثٍ آخر يسمى إكستريم رات Xtreme RAT، وهو يقوم بإرسال المعلومات إلى الخادم ذي العنوان نفسه في سوريا، كما أنّه يبدو أنّ ظهوره يسبق ظهور الدارك كوميت رات. تشير التقارير إلى أنّ هذا التروجان ينتشر عن طريق البريد الإلكتروني وبرامج الدردشة، وأنه يتمّ استعماله بهدف تسجيل الضربات على لوحة المفاتيح وأخذ صورٍ للشاشة في الحاسوب المصاب، ومن المحتمل أيضاً أن يكون قد تمّ اختراق خدماتٍ أخرى على أجهزة الحاسوب المصابة.

يتوجّب عليكم اتخاذ خطواتٍ معينةٍ من أجل حماية جهازكم من الإصابة، وهي ألا تقوموا بتشغيل أية برمجيّات حصلتم عليها عن طريق البريد الإلكتروني، وألا تقوموا بتنصيب أي برنامجٍ لم تحصلوا عليه عن طريق التصفّح الآمن (عبر استخدام HTTPS)، أو برنامجٍ حصلتم عليه من مصادر غير معروفة، حتى إذا كان قد نُصح باستعماله عبر الدعايات التي تظهر في النوافذ المنبثقة Pop-up Ads أو من قبل أحد الأصدقاء. كما وتنصح مؤسسة الحدود الإلكترونية EFF بتحديث نظام التشغيل في جهاز الحاسوب الخاص بكم بشكلٍ دائمٍ، وذلك عبر تحميل التحديثات الأمنية التي توفّرها الشركة المنتجة لنظام التشغيل. فلا تقوموا باستخدام نظام تشغيلٍ قديمٍ لا توفّر له الشركة المنتجة التحديثات المطلوبة.

إن إيجاد أيٍّ من الملفات أو الإجراءات التالية في جهاز الحاسوب الخاص بكم يظهر أنّه معرّض للتهديد من التروجان المذكور، إكستريم رات، وأيّة علاماتٍ إضافيةٍ هي دليلٌ أقوى على وجود هذا التهديد.

كيف تكتشفون عمل إكستريم رات لدى استخدامكم نظام ماكروسوفت ويندوز (Microsoft (Windows:

1 – توجّهوا إلى مدير المهمات في الويندوز Windows Task Manager عبر الضغط على Ctrl+Shift+Esc، ثم أنقروا على زر العمليات Processes

إبحثوا عن إجراء إسمه svchost.exe وهو يعمل تحت إسم المستخدم الخاص بكم. في المثال التالي، يُشار إلى المستخدم باسم Administrator.

2- إفتحوا مستندات (Documents) ومن ثم مجلّد الإعدادات (Settings)؛ أنقروا على إسم المستخدم الخاص بكم في المثال الحالي الإسم هوAdministrator؛ أنقروا على جميع البرامج (All Programs)؛ أنقروا على بدء التشغيل(Startup). إبحثوا عن رابطٍ مشارٍ إليه بكلمة Empty، وهي العلامة أنّ الجهاز الخاص بكم مصابٌ بهذا التروجان.

3- إفتحوا مجلد (Documents and Settings) في سواقة نظام التشغيل “غالباً C” أنقروا على إسم المستخدم الخاص بكم (Administrator في هذا المثال)؛ إفتحوا مجلّد الإعدادات المحلية (Local Settings)، ثم مجلد الملفات المؤقتة (Temp)؛ إبحثوا عن الملفين: _$SdKdwi.bin و System.exe. إذا كان خيار إظهار تذييل الملفات (Display File Extension) مشغّلاً، سيظهرالملف تحت إسم System.exe، أما إذا كان الخيار معطّلاً، فسيظهر الإسم كالتالي System Project Up-date DMW.

4- إفتحوا مجلد مستندات وإعدادات (Documents and Settings) ثم أنقروا على إسم المستخدم الخاص بكم (Administrator في هذا المثال)؛ إفتحوا مجلد الإعدادت المحلية (Local Settings)، إفتحوا مجلّد بيانات التطبيقات Application Data؛ إفتحوا مجلد مايكروسوفت (Microsoft)؛ إفتحوا مجلد ويندوز (Windows)؛ إبحثوا عن الملفين: fQoFaScoN.dat و. fQoFaScoN.cfg.

5- أنقروا على زر (البداية) (Start)؛ أنقروا على تشغيل (Run) ثم إطبعوا كلمة cmd لفتح نافذة التحكم، ثم إطبعوا كلمة netstat. إبحثوا في لائحة الإتصالات الفاعلة (Active Connections) عن إتصالٍ خارجٍ باتجاه ال IP Address التالي: 216.6.0.28.

ما الذي يتوجب عليكم فعله إذا كان حاسوبكم مصاباً بهذا التروجان: 

إذا كان حاسوبكم مصاباً فإنّ إزالة الملفات المذكورة أو استعمال برامج مضادة للفيروسات لإزالة هذا التروجان لا يضمن أنّ جهازكم أصبح في مأمن. إذ يمكّن هذا التروجان الجهة المهاجمة من تنفيذ نص برمجة إعتباطي في الجهاز المصاب. فلا توجد ضمانةٌ بأنّ الجهة المهاجمة لم تقم بتنصيب برمجيّات خبيثة إضافيّة أثناء سيطرتها على الجهاز.

توجد حالياً شركةٌ واحدةٌ تبيع برنامجاً مضادأً للفيروسات يستطيع أن يتعرّف على هذا التروجان. يمكنكم أن تقوموا بتحديث البرنامج المضاد للفيروسات الذي تستخدمونه، وأن تشغّلوه لإزالة هذا التروجان إذا ما ظهر. ولكنّ الإجراء الأكثر أماناً هو بالتأكيد إعادة تنصيب نظام التشغيل على جهاز الحاسوب الخاص بكم. (بالعامية فرمتة).

الرجاء النشر اخواني للحفاظ على سلامة الجميع, ودمتم بخير وسلامة وعاشت سوريا حرة أبية.

1 تعليق على “كيف تحمون أنفسكم من البرمجيّات الخبيثة التي تنشرها الحكومة السوريّة

ناقش معنا الموضوع

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s