طريقة الحماية من تسريبات الـ DNS

عقب الدعم الروسي الإيراني لأجهزة إستخبارات السورية الإلكترونية , تقوم بعض مزودات خدمة الانترنت في سورية باستخدام تقنية  تدعى “Transparent DNS proxies” وهي ملقمات DNS تجبر المتصفح على معالجة الطلبات في هذه الملقمات التابعة له.

في البداية سأقوم بشرح بسيط لعمل الـ DNS:عندما تريد طلب موقع معين ستكتب في المتصفح اسم الموقع وليكن www.facebook.com مثلاً ولكن جهاز الكمبيوتر لا يستطيع فهم ماذا تعني بهذا الكلام لأنه يتعامل بلغة الواحدات والأصفار فيقوم بإرسال طلب إلى ملقم الـ DNS لتحويله إلى لغته التي يفهم بها ذلك وهي عبارة عن أرقام كالشكل التالي 69.171.229.11  في مثالنا هذا، ولكن في ظروف معينة (وليس دائماً) حتى لو كنت تستخدم شبكة VPN  كـبرنامج الـ Expat Shield  أو برنامج Proxy كالـ Tor ستتم معالجة الطلبات عبر ملقمات الـ DNS الخاصة بمزودات الخدمة السورية بدلاً عن ملقمات الـ DNS الخاصة بالبرامج  وتكمن الخطورة في هذا الموضوع أن ملقمات الـ DNS  ستقوم بتسجيل رقم الـ IP الذي خرج منه الطلب بالإضافة إلى اسم المستخدم الخاص بخط الـ ADSL في حال كنت من مستخدميه .

بداية قم بالدخول إلى هذا الموقع وفحص ملقمات الـ DNS التي تحول الطلبات عبرها وفي حال ظهرت لك نتيجة مشابه لهذه فهناك تسريب في الـ DNS أما إذا لم تظهر فلا يوجد أي تسريب ومن غير الداعي أن تقوم بما سنقوم به لاحقاً :

وفي حال عدم إستخدام أية برامج حماية سيظهر فقط ملقمات الـ DNS السورية . ولتفادي هذه المشكلة تابع الخطوات بالصور :
سنقوم بداية بمسح ذاكرة التخزين المؤقتة لمحلل الـ DNS كي لا يستخدمها مرة أخرى … من قائمة ابدأ ابحث عن CMD واضغط على تشغيل كمسؤول

ثم قم بكتابة سطر الأوامر هذا بداخله

ipconfig /flushdns

رسالة تفيد بنجاح العملية .
والآن سنقوم بتغيير الـ DNS الخاص بنا ليقوم بتمرير الطلبات عبره ويمنع تسربها :
مستخدمي ويندوز XP مواضع شبكة الإتصال >> مشاهدة الشبكات المتصل بها
لمستحدمي ويندوز 7 قم بفتح خصائص الشبكة والمشاركة واضغط على اسم الشبكة المتصل بها

قد تكون Local Area Connection  أو Wireless وقم بتطبيق جميع ما يلي على جميع الشبكات التي تتصل بها
ثم اضغط على خصائص :

ومن ثم اضغط على Internet Protocol Version 4 (TCP/IPv4)

واختار تحديد DNS يدوي

وقم بكتابة إحدى الأرقام التالية فيها :

Google Public DNS:  8.8.8.8 , 8.8.4.4

Open DNS:  208.67.220.220 , 208.67.222.222

Comodo DNS:  8.26.56.26 ,  8.20.247.20

وهذه عبارة عن ملقمات DNS عامة تستطيع إستخدامها والقائمة تطول ولكن هذه أفضلها  وهي مجانية لكنها لا تفيد في إخفاء الأثر كاملاً وفك الحجب عن المواقع المحجوبة .

الآن قم بالتأكد من عدم وجود تسريب عبر الدخول إلى هذا الموقع وفحص إعدادات الـ DNS الخاصة بك وفي حال نجح الأمر ستختفي ملقمات الـ DNS السورية من قائمة الملقمات .

للتوضيح أكثر :

في حال كنت لا تستعمل أية برامج كسر للرقابة أو شبكة VPN وقمت بالدخول إلى الموقع ستظهر لك النتيجة مشابه لهذه

وبعد فحص ملقمات الـ DNS ستظهر نتيجة مشابه لهذه

وفي حال كنت تشغل برنامج كسر للرقابة كالتور أو شبكة VPN  دون تغيير إعدادات الـ DNS  ستظهر لك النتيجة مشابه للصورة التالية عند الدخول إلى الموقع

وبعد فحص ملقمات الـ DNS ستظهر هذه النتيجة , أي ان طلبات التحويل تتم عبر ملقمات الخدمة للبرنامج أو الشبكة التي تعمل عليها بالإضافة إلى ملقمات الخدمة لمزودات الانترنت السورية .

وبعد تغيير إعدادات الـ DNS للشبكة المتصل بها أو من الراوتر ستظهر هذه النتيجة بعد فحص ملقمات الـ DNS

ويرجى التأكد من كتابة عناوين الـ DNS على الشكل التالي في الشبكة وإختيار ملقمين من شركتين (هنا اخترت الأول من شركة GoogleDNS والثاني من شركة OpenDNS ) .

ملاحظات

  1. تقوم مزودات الخدمة بتسجيل الموقع الذي تزوره فقط ولا تقوم بتسجيل كامل عنوان الصفحة .
  2. يمكنك معرفة رقم أي موقع عبر الدخول إلى الـ CMD وكتابة التعليمة PING يليها اسم الموقع كاملاً .

وفي النهاية لا يسعنا إلا أن نسأل الله عزّ وجلّ أن يحفظنا ويحفظكم من كل شرّ أو مكروه, والحرية لسوريا الحبيبة.

الشرح منقول للفائدة من اخواننا في دليل الثائر التقني.

حملة تستهدف الناشطين السوريين مع استخدام برامج مراقبة جديدة

منذ بداية السنة، تصاعدت وتيرة وتطور الهجمات على نشطاء المعارضة السورية من قبل قراصنة مؤيدين للحكومة السورية وذلك عن طريق استخدام أحصنة طروادة أو ما يعرف بإسم التروجان Trojan. والتي تقوم بتثبيت برامج تجسس على أجهزة الكمبيوتر المصابة، وكذلك تم استخدام  هجمات الخداع phishing attacks لسرقة حسابات اليوتيوب و الفيسبوك للناشطين السوريين.

أحدث البرامج الضارة المستخدمة لمراقبة الناشطين يأتي على شكل ملف يظهر للوهلة الأولى وكأنه ملف كتاب إلكتروني PDF وذلك في حال قمت بتعطيل عرض ملحقات extensions  الملفات لديك.

الملف يظهر وكأنه وثيقة بشأن تشكيل مجلس قيادة الثورة السورية، ويتم ارسالها عن طريق سكايب.التروجان المدمج مع الوثيقة يقوم بتثبيت أداة الإدارة عن بعد DarkComet RAT، والتي  تستطيع تسجيل نشاط  الكاميرا الموصولة بالجهاز، وتعطيل اشعارات برامج مكافحة الفيروسات ، وتسجيل النقرات على لوحة المفاتيح مما يعني سرقة كلمات السر، وأكثر من ذلك أيضاً.

ثم يقوم هذا التروجان بإرسال هذه البيانات إلى نفس عنوان الـ IP السوري المستخدم في هجمات سابقة والتي أشارات إليها قناة CNN في تقاريرها في شباط الماضي وكذلك أشارت إليها منظمة EFF في  شهر آذار من هذا العام.

ينبغي على جميع مستخدمي الإنترنت في سوريا أن يكونوا حذرين للغاية من النقر على روابط مريبة المظهر، أو تحميل وثائق خاصة، حتى لو كانت تلك الوثائق يتظاهر البعض انها مرسلة من قبل أصدقائك.

الصورة ادناه تبين ملف أدوبي مزيّف يظهر على شكل كتاب إلكتروني PDF.


عند الاستخراج الذاتي للملف المسمى  : ورقة حول مجلس القيادة_as‮rcs.fdp.scr

ينفذ الملف العديد من الإجراءات, أحدها هو فتح ملف الـ PDF الذين ترونه في الصورة التالية.


الصورة ادناه تبين الملفات الأخرى التي تم زرعها في جهازك أثناء عملية أظهار وثيقة الـ PDF
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\(Empty).lnk
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ورقة حول مجلس القيادة.pdf
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Explorer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\msdlg.ocx

بالإضافة إلى ذلك، بعد بدء كتابة، يقوم بإنشاء مجلد لتسجيل ضربات المفاتيح keylogger:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dclogs


الصورة ادناه تبين أن التروجان DarkComet RAT يعمل على جهاز الكمبيوتر الخاص بك. إذهب إلى مدير المهام عن طريق الضغط على Ctrl + Shift + ESC وأنقر على علامة التبويب العمليات. العملية المسماة Svchost.exe والتي سوف تعمل تحت اسم المستخدم الخاص بك. في هذا المثال، المستخدم هو Administrator. في الحالة السليمة يجب أن يعمل Svchost.exe تحت اسم المستخدم System.

الصورة ادناه تبين الرابط في بدأ التشغيل المدعو Empty والذي أنشأه ملف التروجان.


كما حصل في الرابع من أبريل/نيسان حيث لم يعد بالامكان الكشف عن تروجان DarkComet RAT بإستخدام أدوات مكافحة الفيروسات . حيث يتم الكشف عنها وإزالتها بإستخدام اداة حذف التروجان DarkComet RAT removal tool  والتي تم شرحها في هذه التدوينة السابقة.

الصورة التالية تظهر استخدام الأداة التي تقوم بالكشف عن وحذف تروجان DarkComet RAT من جهاز الكمبيوتر لديك , كذلك الهجوم المستخدم لسرقة كلمة سر حسابك في اليوتيوب يتم كشفه بواسطة نفس الأداة السابقة.

تشعر منظمة EFF بقلق عميق من الهجمات التي تستهدف بإستمرار نشطاء الانترنت السوريين .وتقوم بجمع الأدلة التي تشير إلى تنفيذ هجمات من قبل مجموعات أو أفراد في مكان ما داخل سوريا.وسوف نستمر في المراقبة عن كثب لكافة التطورات الحاصلة.

نرجو النشر للجميع كي يعرفوا أساليب النظام في ملاحقة الناشطين على الانترنت وللحفاظ على سلامتهم. عشتم وعاشت سوريا حرة أبية.

المقالة مترجمة من منظمة EFF لحماية ناشطي الانترنت والدفاع عن قضايا حرية التعبير.

فايروسات مخبأة في وثائق وهمية للثورة لاستهداف النشطاء السوريين

تصاعدت الحملة على استخدام الهندسة الاجتماعية لتثبيت برامج مراقبة وذلك  للتجسس على نشطاء سوريين , خصوصاً مع تعقيد الوضع وزيادة العنف في سوريا. فمنذ بداية هذا العام، تم استهداف نشطاء المعارضة السورية باستخدام  تروجانات  Trojans عديدة, منها ما هو موضوع على أساس أداة لتشفير السكايب وقد نبهنا على ذلك في تدوينة سابقة ، تعمل هذه البرامج على التجسس سراً على جهاز الكمبيوتر المصاب، فضلاً عن انه تم استعمال عدد وافر من هجمات التصيد phishing attacks لسرقة حسابات اليوتيوب والدخول لحسابات الفيسبوك.

استهدفت الحملة الأخيرة الناشطين السوريين على سكايب وذلك عن طريق استلام ملف Trojan يحوي ملف PDF بداخله خطة وهمية لمساعدة مدينة حلب، حيث أن الاحتجاجات المعارِضة قد نمت نمواً مطرداً بعد استهداف السكن الجامعي لجامعة حلب مما أسفر عن وفاة أربعة طلاب وإغلاق مؤقت لجامعة حلب الحكومية في وقت سابق من شهر أيار/مايو السابق .لدينا العديد من التقارير عن مثل هذه الهجمات، أحد هذه الهجمات الالكترونية كان عن طريق تروجان يسمى DarkComet RAT، وهو أداة لإدارة الكمبيوتر عن بعد يسمح للمهاجمين بإلتقاط نشاط الكاميرا المثبته على الجهاز، وتعطيل برامج مكافحة الفيروسات، وتسجيل النقرات على لوحة المفاتيح مما يعني سرقة كلمات السر، وأكثر من ذلك أيضاً-و يقوم هذا التروجان بإرسال تلك المعلومات الحساسة إلى عنوان IP سوري ذاته المستخدم في هجمات سابقة والتي تم  شرحها في TrendMicro و  Symantec و سايبر عرب، والعديد من التدوينات في EFF.

بدأ الهجوم من خلال سكايب من خلال الرسالة التالية باللغة العربية:

[29/05/2012 18:03:44] Aleppo Team || …: اخر تعديل لخطة حلب حان وقت الجهاد
[29/05/2012 18:03:46] Aleppo Team || …: أرسل الملف “خطة النهاية2.rar”

وباللغة الانكليزية كالتالي:

[29/05/2012 18:03:44] Aleppo Team | | …: Last modified plan Aleppo time for Jihad
[29/05/2012 18:03:46] Aleppo Team | | …: Send the file “plan eventually 2.rar”

بعد استخراج الملف المضغوط RAR يكون لدينا مجلد يسمى: “خطة حلب” كما هو مبين في الصورة أدناه.


داخل هذا المجلد يوجد ملف يسمى aleppo_plan_ خطة _ تحريك _ حلب cercs.pdf. إن عرض النص من اليمين إلى اليسار يجعل  هذا الملف يبدو أنه ملف PDF، ولكن في الحقيقة هو ملف SCR كما هو مبين في الصورة أدناه .


الملف SCR هو الملف الخبيث

تحليل الملف المسمى خطة تحريك حلب الذي يحمل الـ MD5 هاش رقم :bc403bef3c2372cb4c76428d42e8d188
الملف يبدو للوهلة الأولى انه ملف كتاب إلكتروني PDF لكن بعد التحليل يظهر بداخله ما يلي:

C:\Documents and Settings\Administrator\StartMenu\Programs\Startup\(empty).lnk
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\explorer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Aleppo plan.pdf
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Firefox.dll

والصورة التالية تبين ذلك:


يقوم الملف أولا بتشغيل explorer.exe والذي يقوم بتثبيت DarkComet RAT ثم فتح الملف الذي يمثل الكتاب الالكتروني أو الوثيقة الذي تشرح الخطة المزعومة لتحريك حلب وتتضمن الوثيقة مناقشة لوجستية مفصلة والتي ستكون مثيرة جداً للاهتمام من قبل المعارضين والنشطاء السوريين. قد يكون بعض الكلام الموجود في الوثيقة صحيح لكن المصيبة أن الصفحة الأولى من الوثيقة تحوي على علم نظام الأسد وليس علم الثورة !!

اعتبارا من 29 مايو/أيار 2012 ، فإن هذا الإصدار من DarkComet لا يمكن كشفه بواسطة أي برنامج مكافحة فيروسات. للاطلاع على مناقشة مفصلة حول كيفية إيجاد وإزالة تروجان DarkComet من جهاز الكمبيوتر الخاص بك، الرجاء مراجعه هذه التدوينة.

وينبغي على جميع  مستخدمي الإنترنت في سورية توخي الحذر وخاصة عند تحميل الوثائق والملفات المرسلة عبر سكايب، حتى لو كانت الرسالة تأتي ممن يزعم أنه صديق لنا في السكايب.

نرجو النشر وإبلاغ الجميع للحفاظ على سلامة جميع الناشطين السوريين…عشتم وعاشت سوريا حرة أبية.

المقالة مترجمة من منظمة EFF لحماية ناشطي الانترنت والدفاع عن قضايا حرية التعبير.

كشف وتجنب الصفحات المزورة للحماية من سرقة الحسابات

ما المقصود بالصفحات المزورة

بالمختصر هي صفحات على الانترنت تشبه إلى حد بعيد وربما تطابق من حيث الشكل صفحات تسجيل الدخول لأحد المواقع المعروفة لك كصفحة تسجيل الدخول لبريدك الالكتروني أو صفحة تسجيل الدخول لفيسبوك أوغيرها الغرض منها أن تكتب فيها اسم المستخدم وكلمة السر الخاصة بك فتقوم تلك الصفحة المزورة بإرسال تلك المعلومات إلى جهة ما تقوم بجمع تلك المعلومات وبالتالي إختراق حساب هذا المستخدم أو سرقته

يتم عادة وضع روابط لتلك الصفحات مع عناوين عريضة أو مع خبر هام ليشد انتباه المستخدم فيضغط على ذلك الرابط فتظهر له صفحة الدخول المزورة وتطلب منه اسم المستخدم وكلمة السر فيقوم المستخدم بوضع تلك المعلومات وهو يظن أنها ستوصله للخبر الهام

مثلا الرابط في الصورة التالية

وإذا قام المستخدم بالضغط على الرابط أعلاه تظهر له صفحة مزورة وتطابق من حيث الشكل تماما صفحة تسجيل الدخول لفيسبوك غرضها سرقة معلومات الدخول للمستخدم ولذلك من الضروري جدا أن تعتاد على النظر والتأكد ,من شريط العنوان في المتصفح, من أن عنوان الصفحة هي لنفس الموقع قبل أن تقوم بكتابة اسم المستخدم وكلمة السر, ويجب الانتباه أنه من الممكن أن يكون عنوان تلك الصفحة المزورة شبيه بعنوان الصفحة الأصلية أو أن يتم التلاعب بالكلمات والرموز في العنوان بحيث أن الناظر غير المتمعن قد لا ينتبه إلى الإختلاف

كمثال على ذلك الرابط الملغوم التالي

http://facebook.com.ajax.share.dialog.d.egy6.net/i=256136007&p=102563&parent_fbid=139016171_en&id=78335

بنظرة سريعة قد يظن المستخدم أنه رابط لصفحة من صفحات فيسبوك وبالتالي يقوم بإدخال معلوماته في حال طلبت هذه الصفحة هذه المعلومات, وهنا الخدعة!, حيث أنه ليس من المهم النظر إلى بداية عنوان الرابط بل المهم هو النظر إلى الأسم المذكور قبل أول خط مائل مفرد من اليسار في العنوان

وهو في هذه الحالة ليس  facebook.com  وإنما egy6.net

وبالتالي أي معلومات ستكتبها على الصفحة ذات العنوان السابق لن يتم ارسالها لفيسبوك وإنما إلى شخص ما ينتظرها على أحد السيرفرات الفرعية لموقع

egy6.net

وطبعا قد يكون أي موقع آخر وهنا المثال للتوضيح وليس الحصر.

أدوات مساعدة في كشف الروابط المزورة:

بالنسبة لمتصفح انترنت اكسبلورر فإنه يقوم بوضع اختلاف لوني على العناوين بحيث يكون اسم السيرفر للموقع بلون داكن وباقي العنوان بلون فاتح ليسهل على المستخدم معرفة اسم الموقع الأساسي الذي يحتوي هذه الصفحة

مثلا الصورة التالية من شريط العنوان لمتصفح انتلرنت اكسبلورر 8 عند الدخول للرابط المذكور.

بالنسبة لمتصفح فاير فوكس

كل مايلزم هو تثبيت الاضافة التالية عن طريق الرابط التالي ومتابعة عملية التثبيت وإعادة تشغيل فايرفوكس

http://en.design-noir.de/mozilla/locationbar2/1.0.6.xpi

ثم نختار اسمح / allow

ونختار تنصيب الآن /install now

ثم نعيد تشغيل الفايرفوكس

يمكن تعديل إعدادات هذه الإضافة بحيث تعطي تمييز لوني أوضح, بعد تثبيت الإضافة وإعادة تشغيل فايرفوكس قم بالدخول إلى إعدادات الإضافات كمايلي

قم باختيار الإضافات وابحث عن LocationBar2

ثم اضغط على زر الخيارات

قم باختيار لون آخر وتحديد استخدام خط عريض كما في التالي

وبالتالي تصبح العناوين على فايرفوكس كمايلي ويصبح عدم الانتباه إلى عنوان السيرفر الأساسي أقل احتمالا وبالتالي بلمحة صغيره يستطيع المستخدم أن يدرك أن الصفحة التالية ليست إحدى صفحات فيسبوك فلا يقع في الخديعة.

لو حدث لا سمح الله وأدخلت معلومات تسجيل الدخول في صفحة مزورة ما يجب ان تفعل ؟.

  • قم فورا بتغيير كلمة السر لحسابك من الموقع الأصلي طبعاً.
  • وقم بالتأكد من حسابك ومعلومات استعادة كلمة السر في حال قام المخترق بالتلاعب بها.
  • في حال كان حسابك هو مدير لأحد الصفحات فقم بإعلام باقي المدراء وتأكد أن المخترق لم يقم بإضافة حساب مدير جديد.

ننصح بقراءة المقالين التاليين: للاطلاع على مزيد من المعلومات حول الحماية .

ملاحظة: في حال وجدت أي صفحة تحتوي على روابط مزورة تنشر روابط ملغومة لسرقة حسابات الأحرار السوريين أبلغنا بها فوراً إما بالبريد الالكتروني للمدونة أو على صفحة الفيس بوك.

www.fb.com/itech4sy

كيف تحمون أنفسكم من البرمجيّات الخبيثة التي تنشرها الحكومة السوريّة

من Cyber Arabs

المقال التالي مترجم من اللغة الإنكليزية. المقال الأصلي متوفر على موقع مؤسسة الحدود الإلكترونية EFF .
بدأت تصلنا تقارير منذ بضعة أسابيع عن تروجان – وهو برنامج خبيث يتيح التجسّس على أجهزة الحاسوب والتلاعب بها – يُسمى دارك كوميت رات DarkComet RAT، والذي تحدثنا عن كيفية ازالته في تدوينة سابقة حيث يهاجم هذا التروجان أجهزة حاسوب تعود لناشطين سوريّين. ويتيح تسجيل عمل الويبكام، ومنع بعض البرامج المضادة للفيروسات من القدرة على تنبيه المستخدمين من إصابة أجهزتهم، وتسجيل الطباعة على لوحة المفاتيح، وسرقة كلمات السر، بالإضافة إلى أنشطةٍ أخرى. واتّضح أن هذا التروجان يقوم بإرسال المعلومات إلى خادمٍ يحمل عنواناً  IP Address سورياً. يمكنكم الإطّلاع على التقرير والتوصيات ذات الصلة التي وضعتها شركة سيمانتك Symantec هنا.

أمّا حالياً، فقد رأينا تقارير عن برنامجٍ خبيثٍ آخر يسمى إكستريم رات Xtreme RAT، وهو يقوم بإرسال المعلومات إلى الخادم ذي العنوان نفسه في سوريا، كما أنّه يبدو أنّ ظهوره يسبق ظهور الدارك كوميت رات. تشير التقارير إلى أنّ هذا التروجان ينتشر عن طريق البريد الإلكتروني وبرامج الدردشة، وأنه يتمّ استعماله بهدف تسجيل الضربات على لوحة المفاتيح وأخذ صورٍ للشاشة في الحاسوب المصاب، ومن المحتمل أيضاً أن يكون قد تمّ اختراق خدماتٍ أخرى على أجهزة الحاسوب المصابة.

يتوجّب عليكم اتخاذ خطواتٍ معينةٍ من أجل حماية جهازكم من الإصابة، وهي ألا تقوموا بتشغيل أية برمجيّات حصلتم عليها عن طريق البريد الإلكتروني، وألا تقوموا بتنصيب أي برنامجٍ لم تحصلوا عليه عن طريق التصفّح الآمن (عبر استخدام HTTPS)، أو برنامجٍ حصلتم عليه من مصادر غير معروفة، حتى إذا كان قد نُصح باستعماله عبر الدعايات التي تظهر في النوافذ المنبثقة Pop-up Ads أو من قبل أحد الأصدقاء. كما وتنصح مؤسسة الحدود الإلكترونية EFF بتحديث نظام التشغيل في جهاز الحاسوب الخاص بكم بشكلٍ دائمٍ، وذلك عبر تحميل التحديثات الأمنية التي توفّرها الشركة المنتجة لنظام التشغيل. فلا تقوموا باستخدام نظام تشغيلٍ قديمٍ لا توفّر له الشركة المنتجة التحديثات المطلوبة.

إن إيجاد أيٍّ من الملفات أو الإجراءات التالية في جهاز الحاسوب الخاص بكم يظهر أنّه معرّض للتهديد من التروجان المذكور، إكستريم رات، وأيّة علاماتٍ إضافيةٍ هي دليلٌ أقوى على وجود هذا التهديد.

كيف تكتشفون عمل إكستريم رات لدى استخدامكم نظام ماكروسوفت ويندوز (Microsoft (Windows:

1 – توجّهوا إلى مدير المهمات في الويندوز Windows Task Manager عبر الضغط على Ctrl+Shift+Esc، ثم أنقروا على زر العمليات Processes

إبحثوا عن إجراء إسمه svchost.exe وهو يعمل تحت إسم المستخدم الخاص بكم. في المثال التالي، يُشار إلى المستخدم باسم Administrator.

2- إفتحوا مستندات (Documents) ومن ثم مجلّد الإعدادات (Settings)؛ أنقروا على إسم المستخدم الخاص بكم في المثال الحالي الإسم هوAdministrator؛ أنقروا على جميع البرامج (All Programs)؛ أنقروا على بدء التشغيل(Startup). إبحثوا عن رابطٍ مشارٍ إليه بكلمة Empty، وهي العلامة أنّ الجهاز الخاص بكم مصابٌ بهذا التروجان.

3- إفتحوا مجلد (Documents and Settings) في سواقة نظام التشغيل “غالباً C” أنقروا على إسم المستخدم الخاص بكم (Administrator في هذا المثال)؛ إفتحوا مجلّد الإعدادات المحلية (Local Settings)، ثم مجلد الملفات المؤقتة (Temp)؛ إبحثوا عن الملفين: _$SdKdwi.bin و System.exe. إذا كان خيار إظهار تذييل الملفات (Display File Extension) مشغّلاً، سيظهرالملف تحت إسم System.exe، أما إذا كان الخيار معطّلاً، فسيظهر الإسم كالتالي System Project Up-date DMW.

4- إفتحوا مجلد مستندات وإعدادات (Documents and Settings) ثم أنقروا على إسم المستخدم الخاص بكم (Administrator في هذا المثال)؛ إفتحوا مجلد الإعدادت المحلية (Local Settings)، إفتحوا مجلّد بيانات التطبيقات Application Data؛ إفتحوا مجلد مايكروسوفت (Microsoft)؛ إفتحوا مجلد ويندوز (Windows)؛ إبحثوا عن الملفين: fQoFaScoN.dat و. fQoFaScoN.cfg.

5- أنقروا على زر (البداية) (Start)؛ أنقروا على تشغيل (Run) ثم إطبعوا كلمة cmd لفتح نافذة التحكم، ثم إطبعوا كلمة netstat. إبحثوا في لائحة الإتصالات الفاعلة (Active Connections) عن إتصالٍ خارجٍ باتجاه ال IP Address التالي: 216.6.0.28.

ما الذي يتوجب عليكم فعله إذا كان حاسوبكم مصاباً بهذا التروجان: 

إذا كان حاسوبكم مصاباً فإنّ إزالة الملفات المذكورة أو استعمال برامج مضادة للفيروسات لإزالة هذا التروجان لا يضمن أنّ جهازكم أصبح في مأمن. إذ يمكّن هذا التروجان الجهة المهاجمة من تنفيذ نص برمجة إعتباطي في الجهاز المصاب. فلا توجد ضمانةٌ بأنّ الجهة المهاجمة لم تقم بتنصيب برمجيّات خبيثة إضافيّة أثناء سيطرتها على الجهاز.

توجد حالياً شركةٌ واحدةٌ تبيع برنامجاً مضادأً للفيروسات يستطيع أن يتعرّف على هذا التروجان. يمكنكم أن تقوموا بتحديث البرنامج المضاد للفيروسات الذي تستخدمونه، وأن تشغّلوه لإزالة هذا التروجان إذا ما ظهر. ولكنّ الإجراء الأكثر أماناً هو بالتأكيد إعادة تنصيب نظام التشغيل على جهاز الحاسوب الخاص بكم. (بالعامية فرمتة).

الرجاء النشر اخواني للحفاظ على سلامة الجميع, ودمتم بخير وسلامة وعاشت سوريا حرة أبية.