التحذير من شفرة خبيثة في خدمة “رتّب” الإحصائية

الوقت المقدّر لقراءة هذا المقال: 5 دقيقة و 18 ثانية

لاحظت اليوم انتشار شفرة خبيثة من خلال أحد الملفات المستوردة من موقع رتّب لتصنيف وترتيب المواقع الالكترونية.

الملف الذي يتم استيراده، هو: hxxp://ratteb.com/js.js

ويحتوي في بدايته على السطر الخبيث التالي:

هل تلاحظ الجزء المظلل باللون الأصفر في بدايته؟

مهمّة هذا الجزء، تنفيذ الشفرة الخبيثة فقط عندما يتم الحصول على العدد 1 من خلال توليد رقم عشوائي و ضربه مع 4 ومن ثم أخذ الجزء الصحيح فقط من الناتج، مثلاً: 0.35 * 4 = 1.4

أي أن الشفرة الخبيثة لن يتم تنفيذها دائماً، وبالتالي يقلل هذا من مسألة اكتشافها من بعض مكافحات الفيروسات التي تقوم بفحص ما يتم تنفيذه فعلاً، وليس كامل الشفرة الموجودة في ملف ما.

إن تنفيذ الشفرة السابقة يؤدي إلى إدراج iframe مخفي داخل الصفحة، فيما يلي تحليل للجزء الخبيث المرمّز في الصورة السابقة:

 

يقوم الـ iframe بعرض صفحة من عدة روابط يتم توليدها ضمن شروط معينة (يرجى عدم فتحه في المتصفح)، منها:

كلا الموقعين يقوم بعرض الصفحة الخبيثة التالية:

 

والتي سنقوم بموافاتكم بتحليل لها لاحقاً، لكن مبدئياً يمكن القول بأنه استغلال لبعض الثغرات في Java و Flash.

ننصح جميع مدراء المواقع بالمسارعة إلى إيقاف شفرة رتّب الإعلانية في مواقعهم ريثما تقوم إدارة رتّب باتخاذ التدابير اللازمة لإيقاف انتشار هذه الشفرة الخبيثة من خلالهم.

تحديث:

قمت بتحليل الشفرة الخبيثة التي بُدأ اليوم نشرها عبر خدمة موقع “رتّب”، وفيما يلي أبين ما توصلت إليه:

تتكون قائمة المواقع التي تم استضافة الشفرة الخبيثة الأساسية عليها من:

  • hxxp://hippononens.co.uk/forum/?t=4ff763bcaeaa4
  • hxxp://microsoft-apt.co.uk/forum/?t=4ff763bcaeaa4
  • hxxp://microsoft-tgw.co.uk/forum/?t=4ff763bcaeaa4
  • hxxp://microsoft-ocr.co.uk/forum/?t=4ff763bcaeaa4
  • hxxp://microsoft-rcp.co.uk/forum/?t=4ff763bcaeaa4

وتم الوصول إليها بعد تبسيط الشفرة والتخلص من الأجزاء الثانوية.

يتم في الشفرة الخبيثة الأساسية تحميل ملف تنفيذي غير معروف وتنفيذه من خلال Runtime.exec(). تتم العملية من خلال  3 ملفات JAR، يتم تنفيذها بالترتيب وتمرير مسار الملف التنفيذي لها كبارامتر.

بعد تحليل هذا الجزء توصّلت إلى أنه متعلق بالثغرة الأمنية التي تحمل الرقم: CVE-2012-0507

وفيما يلي ملخّص جيد لقراءة المزيد من التفاصيل عن آلية عملها.

أغلب الظن أن الملف الذي تم تحميله وتنفيذه عبارة عن Trojan horse، ولمن يود التأكد يمكنه وضعه تحت IDA أو منقّحه المفضّل 🙂

الجزء الخبيث الآخر، يقوم بالاعتماد على PluginDetect.js وهو class مكتوب لتحديد فيما إذا كان الزائر يملك AdobeReader, Flash, QuickTime, … etc مع تحديد الإصدار.

يجري استغلال ثغرات مختلفة في AdobeReader, Flash, QuickTime, Shockwave لإصابة جهاز الزائر، ويتم إرسال إحصائيات حول الإصابات إلى صفحة: hxxp://traff-hits4322.in/log.php مع بضعة بارامترات مختلفة لتحديد الإصدارات الموجودة لدى الزائر الذي تمت إصابته.

لن أقوم بنشر روابط الملفات الخبيثة التي تحاول استغلال هذه الثغرات كي لا يتعرض أحد ما للأذى بطريق الخطأ.

أدعو جميع من يشعر بأن جهازه قد تعرّض للإصابة، أو يود أن يتق شر الإصابة، إلى القيام بتثبيت آخر إصدارات من مشغلات الملتميديا آنفة الذكر، Flash player, QuickTime player, Shockwave player وبالطبع آخر إصدار من Adobe Reader أو استبداله بقارئ PDF آخر مثل Foxit Reader; ولا ننسى آخر إصدار من Java Runtime Environment.

طبعاً بالإضافة إلى ما سبق، يجب المسارعة لتثبيت وتحديث مضاد فيروسات تثقون به، وإجراء عملية فحص كامل للقرص الذي يحمل ملفات النظام.


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+15Share on LinkedIn1Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0
وسوم: رتّب

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.

  • جزاك الله خير، وهل راسلت رتب؟

    • نعم أخي الكريم.
      تمت مراسلتهم من خلال النموذج العام عبر موقعهم، ولكن بالطبع إن كنت مشتركاً لديهم فيمكنك التقدم بشكوى حتى يتم المسارعة لحل هذه المشكلة والانتباه لها بأسرع وقت ممكن.

  • الأن فهمت سبب قيام جوجيل بإتحذير من تصفح بعض المواقع العربية من اليوم ! ..

    شكراً على التحليل

  • نعم لقد انتبهت للأمر أيضا صباح اليوم، لقد قاموا الآن بتصليح المشكلة لكن صفحات التحذير لازالت مستمرة.
    يبدوا أن أحد من يقومون بالدخول الى FTP لدى رتّب مصاب بأحد الفيروسات التي تنتقل بهذا الشكل والتي لاحظتها قبل سنوات، أو ربما استهداف؟

    لكن يجب عليهم الاهتمام أكثر وأعتقد أن هذا المشكل سينبههم أكثر حتى لا يتم فقدان مصداقية الموقع.

  • احسنتم بنشر هذا التنبيه، فشخصيا تفاجأت بكون أحد مواقعي محظور من طرف جوجل، ولما توجهت إلى أدوات جوجل لأصحاب المواقع لم أجد أي تحذير، فاحترت وتواصلت عبر مجموعة خاصة بالدعم تابعة لجوجل مع خبراء دلوني على أن المشكل مرتبط برتب، وفعلا وجدت أن رتب محظور وبالتالي إضافة كود منه يتسبب في حظر موقعك، فقمت بنزع كود رتب ومراسلة فريق رتب فورا..
    نرجو أن يحل المشكل وأن يتم تعميم الخبر، وجزاكم الله خيرا..
    تحياتي.

    • بليز لو تقولي كيف طريقة حذف كود رتب من منتديات

  • تم تحديث الخبر وإضافة تفاصيل جديدة حول ما تقوم به الشفرة الخبيثة.

  • Pingback: كود خبيث في موقع رتّب | لينكس اليوم()

  • شكرا أخي على الخبر
    هل لي ببعض العينات من تحليلاتك
    مثلا روابط الملفات الخبيثة لأحللها
    إيميلي :
    hichemraz#gmail.com
    إستبدل # ب @

  • ماشاءالله عليك
    تحليل رائع وممتع
    فعلا شاهدنا قوقل يحذر من المواقع التي تحتوي على سكربت رتب وكنت متوقع لاختراق كود الاحصائيات

    اشكرك على مجهودك والمعلومات الرائعة

    تحياتي

  • شكرا على التنبية الهام
    انا من قبل عند فحص موقعي الاحظ وجود اخطاء في رابك الرتب المضاف اسفل موقعي وايضا جربوا ابحثوا في قوقل عن كلمة رتب سينبهكم قوقل انه الموقع قد يظر بجهازك
    – وشكرا لمراسلتكم لادارة رتب لحل المشكله
    يعطيكم العافية

  • للأسف “رتب” تم استغلاله أكثر من مرة من قبل في نشر برمجيات خبيثة، ولا أدري إلى متى سيستمرون بذلك قبل أن يفقدوا المصداقية.

    بالنسبة للمواقع التي تضررت، إن كنت عزيزي القارئ مديراً لأحدها، فيمكنك إضافة موقعك إلى قائمة المواقع التي ترغب بمتابعتها عبر Google Webmaster Tools ومن ثم تستطيع إرسال طلب مراجعة لإعادة فحص موقعك بعد أن تقوم بإزالة كود “رتب” بشكل مؤقت ريثما يتم إصلاح المشكلة لديهم.

    أيضاً يمكن إرسال طلب مراجعة مستقل عبر StopBadware.org ولكن لا تلجأ إلى هذه الطريقة قبل اتباع الطريقة الأولى عبر Webmasters tools.

  • السلام عليكم
    صراحة أهنيك على هذا التحليل المميز
    وإن شاء الله رتب تحل المشكلة وتصبح الامور على ما يرام.

  • Pingback: التحذير من شفرة خبيثة في خدمة “رتّب” الإحصائية()

  • مع الأسف الموقع لم يلقى اهتمام القائمين عليه، حيث لا تطوير أو تحسين أو تجديد ، وقد لاحظت وجود تحذير من قوقل من دخول موقع رتب .. وقد أزلت شفرة موقع رتب من مدونتي تحسباً لأي حظر من قوقل ..

  • هههه تكلمت على هذه الحركة من قبل لكن بدون تطبيق
    إختراق المواقع التي تقدم خدمات إحصاء و حاجات الي تتطلب وضع رابط كود javascript
    وتغيير الكود بأشياء أخرى , ظاهر الشخص الي إخترقوا شخص فاهم و ++ حصل على ملايين ضحايا عرب

  • بارك الله فيك حتى موقع sehha
    فيه نفس القصة

  • للاسف موقعي من ضمن المواقع المصابة وسوف اتخذ اللازم

  • Pingback: ظهور شيفرة خبيثة في إحصائيات رتب تضر آلاف المواقع العربية()

  • إنا لله و إنا إليه راجعون,

    ضربة قاصمة لرتب, و مكسب أكيد لجووجل أناليتكس.

    قووقل الآن فاقت ميكروسوفت في الإحتكار..!

  • السلام عليكم ورحمة الله وبركاته

    منذ فترة لاحظت بطئ عرض صفحة موقعي عند الوصول
    إلى الفوتور حيث يوجد كود رتب.

    وقمت بحذف كود رتب، منذ اكثر من اسبوعين..
    ولا يزال قوقل يحذر من الدخول إلى موقعي..

    هل من حل جزاكم الله خيراً

  • قم بالحصول على حساب لدى Google وادخل على Webmaster Tools وأضف موقعك (سيعطيك ملف ليطلب منك تحميله للموقع لاثبات ملكيتك)
    بعد التحميل سيقوم بعرض مجموعة من التنبيهات لك حول المشاكل التي تم اكتشافها في موقعك، وقد يكون منها إيجاد محتويات خبيثة في أحد الروابط مثلاً.
    قد يساعدك هذا على حل مشكلتك.
    لا تنسى أيضاً أن تقوم بإفراغ الكاش الخاص بموقعك (إن كنت قد استخدمته) حتى لا يتم تقديم محتويات قديمة (وأعني كود رتب) لزوارك.