انتشر خلال الاسبوعين الماضيين برنامج خبيث يقوم بالانتشار عن طريق موقع التواصل الاجتماعي Facebook يستخدم فيها طريقه سريعه للانتشار , فعند الضغط على الرابط الملغوم يقوم بارسال تنبيه لجميع الاصدقاء لديك بانك قمت بعمل لهم اشاره mention وعند فتح التنبيه يقوم بتحميل ملف يسمى comment_77593864.jse وهو سكربت مبرمج بال javascript .
اولا ما نوع هذا البرنامج الخبيث ؟
هو عباره عن Trojan downloader لا يحوي على تعليمات ضاره بالنظام لكنه يقوم بتحميل البرنامج الخبيث المراد زرعه عند الضحيه من موقع المخترق .
ثانيا ما هدف البرنامج الخبيث ؟
يقوم هذا البرنامج الخبيث عند فتحه يقوم بتحميل مجموعه من الملفات التشغيليه التي تحوي احد انواع البرامج الخبيثه الذي سيتم زرعه عند الضحيه و يقوم بتحميل اضافه للمتصفح الذي يستخدم لحقن صفحه المستخدم على موقع facebook بالتنبيه المزيف الذي يحوي رابط تحميل البرنامج الخبيث .
ثالثا اسئله تهمك بالنسبه لهذا البرنامج الخبيث :
1) هل ما زال تأثير البرنامج الخبيث فعالا لهذا اللحظة ؟
لقد تم حظر المواقع التي يقوم البرنامج الخبيث بتحميل البرامج الخبيثة الضاره منها وقامت جوجل بحضر الملف من سيرفراتها لكن يجب الحذر من تشغيل البرنامج وعدم تحميله اذا ما اعاد المخترق تشغيل الخدمه ورفع الملفات .
2) هل يحدث هذا البرنامج الخبيث اضرار في النظام ؟
من التحليل الاولي لهذا البرنامج و بالاستعانه مع نتائج الباحثين في موقع security.stackexchange.com و hybrid-analysis فانه البرامج الخبيثه التي يتم تحميلها تحوي على مكتبات التشفير وهذا يدل على امكانية ان يكون البرنامج الخبيث هو من نوع ransomware وهي برامج الفديه التي تقوم بتشفير الملفات لكن بعد التحليل من قبل الباحثين وجد انها غير مستخدمة في تشفير ملفات المستخدم ولكن في فك تشفير بعض البيانات المشفره داخل الملفات الخبيثة التي يتم تحميلها و لم يتم للان اعلان عن ضحايا تم تشفير ملفاتهم .
3) قمت بالضغط على رابط وتحميل البرنامج هل تم اختراقي ؟
3) قمت بالضغط على رابط وتحميل البرنامج هل تم اختراقي ؟
البرنامج الخبيث لا يعمل بشكل تلقائي عن تحميله يجب على الضحيه تشغيله , لكن اذا كان المتصفح عندك قد تم اعداده لفتح الملفات عند تحميلها فيجب عليك حذف اي اضافه جديده على المتصفح . ( يرجى التاكد من اعادادات المتصفح بازاله خيار التشغيل التلقائي ) .
رابعا التحليل التقني للبرنامج الخبيث :
يتم تحميل البرنامج الخبيث من هذا الرابط :
https://doc-10-50-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/n6jgr1l9o9qedfq7aorhbu7bq90o5v3u/1466856000000/01294005275620803036/*/0BynbM0gG6RaBbmJGYmV1WTZXZWM?e=download
يقوم البرنامج الخبيث بالاتصال بهذه domains
| Domain | Address | Country |
|---|---|---|
| www.google.de | 172.217.19.195 | United States |
| whos.amung.us | 67.202.94.94 | United States |
| clients1.google.de | 172.217.18.3 | United States |
| userexperiencestatics.net | 104.27.171.159 | United States |
| ssl.gstatic.com | 172.217.19.195 | United States |
ليقوم بتحميل الملفات التي تحوي البرنامج الخبيث وقد قمنا في مختبر REM4A بفك تشفير اسماء وروابط تحميل هذه الملفات الخبيثة من البرنامج الخبيث
http://userexperiencestatics.net/ext/Autoit.jpg autoit.exe
http://userexperiencestatics.net/ext/bg.jpg bg.js
http://userexperiencestatics.net/ext/ekl.jpg ekl.au3
http://userexperiencestatics.net/ext/ff.jpg ff.zip
http://userexperiencestatics.net/ext/force.jpg force.au3
http://userexperiencestatics.net/ext/sabit.jpg sabit.au3
http://userexperiencestatics.net/ext/manifest.jpg manifest.json
http://userexperiencestatics.net/ext/run.jpg run.bat
http://userexperiencestatics.net/ext/up.jpg up.au3
http://whos.amung.us/pingjs/?k=pingjse346 ping.js
http://whos.amung.us/pingjs/?k=pingjse3462 ping2.js
قمت بجمع بعض الملفات الخبيثة مع dump للبرنامج عند تشغيله :
لا اريد ان اضعها للتحميل لانها ملغمة .
لا اريد ان اضعها للتحميل لانها ملغمة .
من خلال تحليل ملف autoit وجدنا ان هذا البرنامج الخبيث يقوم :
1) اغلاق المتصفح المفتوح حاليا .
2) استبدال shortcut للمتصفحات بshortcut يتم وضع داخل مسار التشغيل كود تفعيل الاضافه التي يقوم من خلالها البرنامج بالانتشار على facebook
3) اضافه نفسه الى HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ليقوم بالعمل تلقائيا عن تشغيل الجهاز
4) يحوي ملف up.au3 على قيم يتم ادخالها الى autoit.exe ليقوم بعمليه لم نتمكن من معرفتها لعدم وجود ملف up.au3 لنا .
من خلال البحث عن البرنامج الخبيث تم جمع هذه المعلومات :
البرنامج الخبيث يقوم بتسجيل كل ما يتم كتابته باستخدام لوحه المفاتيح .
لديه القدره على انشاء اتصال على جهاز المستخدم للانتظار حتى يتم الاتصال به .