فاطمي
08-23-2005, 06:26 AM
برامج تجسس مطورة تتغلغل نحو الذاكرة الآمنة المحمية لا تتمكن شركات مكافحة الفيروسات من اكتشافها
اظهر كشفان الاسبوع الماضي حول التهديدات الجديدة المتعلقة ببرامج التجسس «سباي وير»، ان هذه البرامج الاخيرة قد اخذت منعطفا خطيرا نحو الاسوأ.
في أوائل الاسبوع الماضي أعلنت شركة «صن بيلت سوفت واير» التي مقرها ولاية فلوريدا في الولايات المتحدة، وهي تنتج برامج ازالة برامج التجسس مثل «كونتر سباي»، أن باحثيها اكتشفوا مجموعة من مكونات برامج التجسس التي بمقدور المجرمين استخدامها لسرقة المعلومات المالية والشخصية الحساسة.
وتشمل عملية توزيع برامج «سباي وير» كجزء من حمولتها، برنامج «حصان طروادة» يدعى «كي لوغر» SRV.SSA-keylogger الذي يقوم بسرقة المعلومات ليرسلها الى جهاز خادم كومبيوتري بعيد. واضافة الى ذلك تشمل عملية التوزيع أجزاء من برنامج «آد وير» (برنامج يتلصص عليك لارسال الدعايات التجارية لك) التي يصعب ازالتها التي مصدرها أكثر من شركة واحدة والتي تتضمن استخدام برنامج «كول ويب سيرتش» المراوغ للتجسس الذي يستثمر نقاط الضعف الامنية في أجهزة الكومبيوتر التي تستخدم أنظمة ويندوز غير المعززة أمنيا، لكي يركب نفسه فيها من دون تغيير المستخدم ليبقى فعالا رغم محاولات ازالته.
وكان باحثو «صن بيلت» قد اكتشفوا معلومات حساسة تمت الى آلاف الاشخاص مخزنة في خادم يقع داخل الولايات المتحدة التي كان لصوص المعلومات يستخدمونها لاغراضهم الخاصة. وصرح اليكس ايكلبيري رئيس الشركة ان الامر الفريد في كل هذا اننا اكتشفنا هذه الكمية من المعلومات الخاصة بمستخدمي الكومبيوتر التي هي معلومات نادرة محمية أمنيا! راصد المفاتيح < تعمل مشاريع سرقة المعلومات بالاعتماد على حصان طروادة صغير يقبع هنا ليقرأ المعلومات المخزنة في منطقة التخزين المحمية (المؤمنة). ويستخدم نظام تشغيل «ويندوز اكس بي» منطقة التخزين المحمية هذه لتسجيل بعض المعلومات الحساسة مثل التواريخ الذاتية الكاملة AutoComplete للمتصفح الخاص بك من اجل الحصول على العنوان الانترنتي URL وكلمات المرور التي بلغتها الى «انترنت اكسبلورر» لكي يحفظها لك ويدخلها أوتوماتيكيا، فضلا عن المعلومات التي سلمتها الى مواقع الشبكة على طلبات محمية ببرتوكول «اس اس ال». ويقوم «حصان طروادة» هذا بقراءة هذه المعلومات بما فيها اصطلاحات البحث وكلمات المرور وكل الامور التي تدخل في المصرف ليقدمها بعد ذلك الى الخادم. لقد صمم «حصان طروادة» هذا لكي يستهدف المعلومات المصرفية والدخول على الحسابات لسرقة المال. ويبحث المجرمون الذين طوروه عن بطاقات الائتمان والمعلومات الخاصة بالعناوين لكي يتمكنوا من شراء المواد من الشبكة، خاصة وأن عمليات الشراء هذه لا يمكن منعها.
ويقول خبراء الشركة ان هذا ليس «كي لوغر» (راصد مفاتيح لوحة الكومبيوتر) عاديا. ان «كي لوغر» العادي يقوم بتسجيل اي شيء على جهازك الكومبيوتري، اما هذا فهو يهاجم اي شيء تقوم بتعبئته على الطلبات الموجودة على الشبكة. لذلك فهو يملك رقم بطاقتك الائتمانية وتاريخ نفاذ مفعولها ورمزها الامني وعنوانك. كما يقوم بتعقب جميع عناوين الشبكة التي دخلتها مع ما استخدمته من اسماء للاستخدام، أو كلمات المرور».
ولقد صمم النظام برمته لسرقة حسابات مستخدمي الكومبيوترات والتعرف على المعلومات جميعها التي يحتاجها المجرمون للحصول على بطاقات ائتمانية جديدة باسمك، ومن ثم تفريغ حساباتك المصرفية.
ان برنامج «كي لوغر» هو من الحداثة، كما تقول «صن بيلت» بحيث ان القليل جدا من الشركات البائعة لمضادات الفيروس تمكنت من تطوير تعريفات لازالة خطره من الاجهزة المصابة به، فهو يبدو مختلفا عن الاشكال الحالية لبرامج السرقة التي تعتمد على «أحصنة طروادة» التي تدعى «دمادور» أو «نيبيو». والقليل من المؤسسات المسوقة لمضادات الفيروسات تمكنت من اكتشافه، فقد وصفته شركة «كابر سكاي» بـ«باك دور» (الباب الخلفي)، اضافة الى «دمادور. دي اف»، و«ون 32»، ويبدو ان شركة «سيمانتك» لمكافحة الفيروسات لم تتمكن من الامساك به، لكونه نوعا مختلفا من برنامج «حصان طروادة» المعروف جيدا».
وهذا ليس نوعا ثوريا جديدا من «كي لوغر»، بل انه سلسلة جديدة «قذرة» منه. وتقوم الشركة حاليا بتسجيل وضع الابحاث الخاصة به تاريخيا في سجل الشركة. ان مستخدمي انظمة التصفح البديلة مثل «موزيلا فايرفوكس» لا يقومون بتخزين معلوماتهم الذاتية الكاملة في منطقة التخزين المأمونة، لذلك فهم معصومون من «حصان طروادة» هذا، كما أن «ويندوز اكس بي سيرفيس باك2» التي تعمل على الكومبيوترات الشخصية هي أقل تعرضا للاصابة أيضا.
التخلص من التهديد بمقدورك استخدام أداة مجانية مثل «بروتيكتد ستوريج باس فيو» لرؤية ما هو مخزون في جهازك الـ«بي سي». ومن اجل ذلك افتح «انترنت اكسبلورر» وانقر على «أدوات» Tools، ثم على «انترنت اوبشنس» Internet Options وقم باختيار «كونتينت تاب» Content tab لتنقر على زر «اوتوكومبليت» AutoComplet وللتخلص من التهديد تخلص من جميع اطارات وعلب الكشف، ثم انقر على «كلير باس ووردز» Clear Passwords وعلى أزرار «كلير فورمس» Clear Forms. وتقول الشركة انها كانت مصادفة أن يعثر باحثوها على الخادم الذي يحتوي على كل هذه المعلومات المسروقة. وهذا حصل أثناء تعقبهم أحد الاوامر الذي وصفه بأنه مناداة بعيدة مرسلة من الانترنت الى جهاز كومبيوتر مصاب في مختبرهم. واضاف أن الامر برمته يعود الى نوع من الحشرية وحب الاستطلاع الاستقصائي. وهذا الاستطلاع الاقصائي قاد الباحثين في «ويب رووت» شركة مضادات برامج التجسس «سباي وير» التي تنتج برامج «سباي سويبر» الى اكتشاف رموز كومبيوترية من رموز الكراهية مزروعة في نظام توزيع برنامج التجسس «سباي وير».
وقبل اسبوعين اكتشف باحثو «ويب رووت» ملفا مضغوطا في نسخة مختلفة من «سارس ـ حصان طروادة» تحتوي على كلمات تمجد هتلر والنازية تحت شعار الصليب النازي. الكلمات تقول «شعب واحد، أمة واحدة، قائد واحد».
والمعلوم أن «حصان طروادة» هذا خطير جدا، فهو يجلس في جهازك مستقرا في الذاكرة منتظرا نوعا من التحفيز لكي ينطلق، وعندما يرى بداية أمينة للوصل يبدأ بالاتصال والارتباط، قبل أن يبدأ بارسال المعلومات المسجلة الى موضع مركزي. وكان الملف المؤذي هذا الذي اكتشفته مؤسسة «ويبرووت» مضغوطا باسلوب «يو بي اكس»، كما كان يصحب برنامج «حصان طروادة» التنفيذي ملف نصي يتضمن الصليب النازي وقول هتلر المأثور.
اظهر كشفان الاسبوع الماضي حول التهديدات الجديدة المتعلقة ببرامج التجسس «سباي وير»، ان هذه البرامج الاخيرة قد اخذت منعطفا خطيرا نحو الاسوأ.
في أوائل الاسبوع الماضي أعلنت شركة «صن بيلت سوفت واير» التي مقرها ولاية فلوريدا في الولايات المتحدة، وهي تنتج برامج ازالة برامج التجسس مثل «كونتر سباي»، أن باحثيها اكتشفوا مجموعة من مكونات برامج التجسس التي بمقدور المجرمين استخدامها لسرقة المعلومات المالية والشخصية الحساسة.
وتشمل عملية توزيع برامج «سباي وير» كجزء من حمولتها، برنامج «حصان طروادة» يدعى «كي لوغر» SRV.SSA-keylogger الذي يقوم بسرقة المعلومات ليرسلها الى جهاز خادم كومبيوتري بعيد. واضافة الى ذلك تشمل عملية التوزيع أجزاء من برنامج «آد وير» (برنامج يتلصص عليك لارسال الدعايات التجارية لك) التي يصعب ازالتها التي مصدرها أكثر من شركة واحدة والتي تتضمن استخدام برنامج «كول ويب سيرتش» المراوغ للتجسس الذي يستثمر نقاط الضعف الامنية في أجهزة الكومبيوتر التي تستخدم أنظمة ويندوز غير المعززة أمنيا، لكي يركب نفسه فيها من دون تغيير المستخدم ليبقى فعالا رغم محاولات ازالته.
وكان باحثو «صن بيلت» قد اكتشفوا معلومات حساسة تمت الى آلاف الاشخاص مخزنة في خادم يقع داخل الولايات المتحدة التي كان لصوص المعلومات يستخدمونها لاغراضهم الخاصة. وصرح اليكس ايكلبيري رئيس الشركة ان الامر الفريد في كل هذا اننا اكتشفنا هذه الكمية من المعلومات الخاصة بمستخدمي الكومبيوتر التي هي معلومات نادرة محمية أمنيا! راصد المفاتيح < تعمل مشاريع سرقة المعلومات بالاعتماد على حصان طروادة صغير يقبع هنا ليقرأ المعلومات المخزنة في منطقة التخزين المحمية (المؤمنة). ويستخدم نظام تشغيل «ويندوز اكس بي» منطقة التخزين المحمية هذه لتسجيل بعض المعلومات الحساسة مثل التواريخ الذاتية الكاملة AutoComplete للمتصفح الخاص بك من اجل الحصول على العنوان الانترنتي URL وكلمات المرور التي بلغتها الى «انترنت اكسبلورر» لكي يحفظها لك ويدخلها أوتوماتيكيا، فضلا عن المعلومات التي سلمتها الى مواقع الشبكة على طلبات محمية ببرتوكول «اس اس ال». ويقوم «حصان طروادة» هذا بقراءة هذه المعلومات بما فيها اصطلاحات البحث وكلمات المرور وكل الامور التي تدخل في المصرف ليقدمها بعد ذلك الى الخادم. لقد صمم «حصان طروادة» هذا لكي يستهدف المعلومات المصرفية والدخول على الحسابات لسرقة المال. ويبحث المجرمون الذين طوروه عن بطاقات الائتمان والمعلومات الخاصة بالعناوين لكي يتمكنوا من شراء المواد من الشبكة، خاصة وأن عمليات الشراء هذه لا يمكن منعها.
ويقول خبراء الشركة ان هذا ليس «كي لوغر» (راصد مفاتيح لوحة الكومبيوتر) عاديا. ان «كي لوغر» العادي يقوم بتسجيل اي شيء على جهازك الكومبيوتري، اما هذا فهو يهاجم اي شيء تقوم بتعبئته على الطلبات الموجودة على الشبكة. لذلك فهو يملك رقم بطاقتك الائتمانية وتاريخ نفاذ مفعولها ورمزها الامني وعنوانك. كما يقوم بتعقب جميع عناوين الشبكة التي دخلتها مع ما استخدمته من اسماء للاستخدام، أو كلمات المرور».
ولقد صمم النظام برمته لسرقة حسابات مستخدمي الكومبيوترات والتعرف على المعلومات جميعها التي يحتاجها المجرمون للحصول على بطاقات ائتمانية جديدة باسمك، ومن ثم تفريغ حساباتك المصرفية.
ان برنامج «كي لوغر» هو من الحداثة، كما تقول «صن بيلت» بحيث ان القليل جدا من الشركات البائعة لمضادات الفيروس تمكنت من تطوير تعريفات لازالة خطره من الاجهزة المصابة به، فهو يبدو مختلفا عن الاشكال الحالية لبرامج السرقة التي تعتمد على «أحصنة طروادة» التي تدعى «دمادور» أو «نيبيو». والقليل من المؤسسات المسوقة لمضادات الفيروسات تمكنت من اكتشافه، فقد وصفته شركة «كابر سكاي» بـ«باك دور» (الباب الخلفي)، اضافة الى «دمادور. دي اف»، و«ون 32»، ويبدو ان شركة «سيمانتك» لمكافحة الفيروسات لم تتمكن من الامساك به، لكونه نوعا مختلفا من برنامج «حصان طروادة» المعروف جيدا».
وهذا ليس نوعا ثوريا جديدا من «كي لوغر»، بل انه سلسلة جديدة «قذرة» منه. وتقوم الشركة حاليا بتسجيل وضع الابحاث الخاصة به تاريخيا في سجل الشركة. ان مستخدمي انظمة التصفح البديلة مثل «موزيلا فايرفوكس» لا يقومون بتخزين معلوماتهم الذاتية الكاملة في منطقة التخزين المأمونة، لذلك فهم معصومون من «حصان طروادة» هذا، كما أن «ويندوز اكس بي سيرفيس باك2» التي تعمل على الكومبيوترات الشخصية هي أقل تعرضا للاصابة أيضا.
التخلص من التهديد بمقدورك استخدام أداة مجانية مثل «بروتيكتد ستوريج باس فيو» لرؤية ما هو مخزون في جهازك الـ«بي سي». ومن اجل ذلك افتح «انترنت اكسبلورر» وانقر على «أدوات» Tools، ثم على «انترنت اوبشنس» Internet Options وقم باختيار «كونتينت تاب» Content tab لتنقر على زر «اوتوكومبليت» AutoComplet وللتخلص من التهديد تخلص من جميع اطارات وعلب الكشف، ثم انقر على «كلير باس ووردز» Clear Passwords وعلى أزرار «كلير فورمس» Clear Forms. وتقول الشركة انها كانت مصادفة أن يعثر باحثوها على الخادم الذي يحتوي على كل هذه المعلومات المسروقة. وهذا حصل أثناء تعقبهم أحد الاوامر الذي وصفه بأنه مناداة بعيدة مرسلة من الانترنت الى جهاز كومبيوتر مصاب في مختبرهم. واضاف أن الامر برمته يعود الى نوع من الحشرية وحب الاستطلاع الاستقصائي. وهذا الاستطلاع الاقصائي قاد الباحثين في «ويب رووت» شركة مضادات برامج التجسس «سباي وير» التي تنتج برامج «سباي سويبر» الى اكتشاف رموز كومبيوترية من رموز الكراهية مزروعة في نظام توزيع برنامج التجسس «سباي وير».
وقبل اسبوعين اكتشف باحثو «ويب رووت» ملفا مضغوطا في نسخة مختلفة من «سارس ـ حصان طروادة» تحتوي على كلمات تمجد هتلر والنازية تحت شعار الصليب النازي. الكلمات تقول «شعب واحد، أمة واحدة، قائد واحد».
والمعلوم أن «حصان طروادة» هذا خطير جدا، فهو يجلس في جهازك مستقرا في الذاكرة منتظرا نوعا من التحفيز لكي ينطلق، وعندما يرى بداية أمينة للوصل يبدأ بالاتصال والارتباط، قبل أن يبدأ بارسال المعلومات المسجلة الى موضع مركزي. وكان الملف المؤذي هذا الذي اكتشفته مؤسسة «ويبرووت» مضغوطا باسلوب «يو بي اكس»، كما كان يصحب برنامج «حصان طروادة» التنفيذي ملف نصي يتضمن الصليب النازي وقول هتلر المأثور.