وسم التدوينة malware

Kaspersky تحذر من TDL-4 ) TDSS) أكثر البرمجيات الخبيثة تطورا على مر التاريخ

الكاتب Xacker | في Security | بتاريخ: 02 يوليو 2011 3 تعليق

Kaspersky تحذر من TDL-4 ) TDSS) أكثر البرمجيات الخبيثة تطورا على مر التاريخ

TDSS هو اسم البرمجية الخبيثة الجديدة التي أعلنت شركة Kaspersky عن اكتشافها و تحليلها، ووصفتها بأنها أكثر البرمجيات الخبيثة تطوّراً إلى يومنا هذا. تستخدم TDSS مجموعة من الطرق لتفادي الاكتشاف عبر (signature based scan، heuristic scan، proactive scan)، وتقوم بتشفير الاتصالات بين عملائها (bots) ومركز الإدارة والتحكم الخاصة بالـ botnet.

تملك TDSS أيضاً عنصر rootkit يمكّنها من إخفاء وجود أي إصابة ببرمجيات خبيثة أخرى في النظام، الأمر الذي سنفسره لاحقاً في المقال.

هذا ليس الإصدار الأول من هذه البرمجية الخبيثة، بل الرابع (TDL-4)، حيث أن أول إصدار ظهر على العلن في عام 2008 وأطلق عليه اسم TDL، بينما ظهر الإصدار الثالث في 2010 وأطلق عليه اسم TDL-3 وتم شرحه بالتفصيل في مقالة نشرت في شهر أغسطس 2010.

يذكر التقرير أيضاً بأن مبرمجي TDSS لم يقوموا ببيع الشفرة المصدرية لبرنامجهم حتى نهاية عام 2010. ففي شهر ديسمبر، بينما كان خبراء Kaspersky يقومون بتحليل عينة من TDSS، اكتشفوا جزء مشفراً من القرص الصلب خاص بـ TDL-3 يحتوي على ملفات تعود إلى برمجية خبيثة أخرى هي SHIZ.

التعديلات التي تمت على إعدادات TDL-3 وإضافة برمجية تسويق أخرى تشير إلى أن الشفرة المصدرية لـ TDL-3 تم بيعها لمجرمي الإنترنت الذين لديهم صلة ببرمجية SHIZ الخبيثة.

من التعديلات والإضافات الجديرة بالذكر بخصوص TDSS:

  • برنامج Affiliate program  لمكافئة من يساهم في نشر البرمجية الخبيثة حيث يتم منح ما بين 20 إلى 200 دولار مقابل كل 1000 جهاز مصاب.
  • شبكة اتصالات مشّفرة.
  • مضاد فيروسات (تقوم البرمجية بإزالة بعض البرمجيات الخبيثة الأخرى من الجهاز المصاب للتخفيف من أعراض إصابته بأي نوع من الفيروسات حتى تضمن ألا يتم فحصه بشكل مكثّف لأطول فترة ممكنة مما يعني أنها ستستمر بالعمل فترة أطول)
  • تتصف بأنها bootkit أي أنها تصيب الـ MBR وتزرع نفسها فيه لتعمل قبل أن يعمل نظام التشغيل وبالتالي تتمكن من إفشال عمل العديد من البرمجيات الموجودة في النظام.
  • إمكانية الاتصال مع شبكة الند للند Kad الخاصة بتبادل الملفات P2P.
  • تضيف proxy server إلى خدمة svchost.exe مما يمكّن المتحكمين بالأجهزة المصابة من تصفّح مواقع معينة عبر الانترنت من خلال الأجهزة المصابة بصورة anonymous.
  • دعم أنظمة 64bit  في  user-mode.
  • التعامل مع نتائج البحث الخاصة بمحركات بحث عديدة، واستبدالها بنتائج بحث مخصصة.
  • العديد من مراكز الإدارة والتحكم غير المركزية (decentralized, server-less).

و تشير Kaspersky  أن برمجية TDSS أصابت لحد الساعة ما لا يقل عن 4.5 مليون جهاز عبر مختلف بلدان العالم (28% منها في الولايات المتحدة).

أنصح بقراءة المقال الكامل من خلال زيارة الرابط.

وسوم: , , ,

توزيعة Gentoo تنقل معها برمجية خبيثة

الكاتب Xacker | في Open source | بتاريخ: 16 يونيو 2010 تعليق واحد

توزيعة Gentoo تنقل معها برمجية خبيثة

وفقاً لأحد المصادر، فإن الشفرة المصدرية لبرمجية خبيثة malware كان قد تم تضمينها في الإصدار الرسمي لتوزيعة Gentoo.

تقرير رسمي من Gentoo يؤكد أن أرشيف unrealircd المضغوط في نسخ gentoo (Unreal3.2.8.1.tar.gz) مصاب فعلاً لكن التواقيع الخاصة بالملفات فيه تطابق التواقيع الخاصة بالأرشيف الأصلي بدون تعديل. هكذا تم اكتشاف الاختراق.

المخترق تمكن من الوصول إلى السيرفرات البديلة التي تستضيف unrealircd والآن يتم توفير الأرشيف عبر الموقع الرسمي له فقط بشكل مؤقت.

إن كنت قد قمت بتحميل وتثبيت سيرفر Unreal IRC مفتوح المصدر في غضون الأشهر الثمانية الماضية تقريباً، فقد كنت ضحية الاختراق.

الإعلان الرسمي على موقع UnrealIRCD يقول:

لقد اكتشفنا أن ملف Unreal3.2.8.1.tar.gz على سيرفراتنا البديلة قد تم استبداله منذ فترة طويلة مضت بإصدار آخر يتضمن Trojan بداخله.

هذا الـ Trojan يسمح لأي شخص بتنفيذ أي أمر بصلاحيات المستخدم الذي يقوم بتشغيل سيرفر ircd. أيضاً يمكن تنفيذه بغض النظر عن حدود المستخدم.

يبدو أن استبدال الملف حدث في تشرين الثاني / نوفمبر الماضي عام 2009 (على الأقل في بعض السيرفرات البديلة). يبدو أن لا أحد قد انتبه إلى هذا حتى الآن.

كإجراء وقائي للمستقبل، سيتم من الآن فصاعداً إرفاق ملفات PGP/GPG للتأكد من موثوقية الملفات، لكن السؤال الذي يطرح نفسه،ماذا لو تمكن أحدهم من الوصول إلى الملفات واستبدالها، ألن يكون بإمكانه الوصول إلى ملفات التواقيع واستبدالها أيضاً؟ :|

- ما رأيك عزيزي القارئ في هذا ؟

وسوم: , , ,

برمجية خبيثة تنتحل صفحة Office 2010 Beta

الكاتب Xacker | في Security | بتاريخ: 22 مايو 2010 تعليق واحد

برمجية خبيثة تنتحل صفحة Office 2010 Beta

انتشر في الآونة الأخيرة بريد إلكتروني بعنوان “See Office 2010 Beta in Action” يستخدم نسخة مزعومة من Office 2010 Beta كطعم، حيث يرد على شكل رسالة إلكترونية مرفقة بملف مضغوط عند فك الضغط عنه تجد ملفا تنفيذيا exe اسمه عبارة عن مفتاح التسجيل الخاصة بحزمة Office.

BitDefender أحد مكافحات الفيروسات العملاقة يقوم بتحديد الملف على أنه Trojan.Downloader.Delf.RUJ.

تصيب هذه النسخة نظام Windows. حيث أنها مصممة لتقوم بفتح قناة يمكن من خلالها تمرير العديد من البرمجيات الخبيثة الأخرى إلى النظام المصاب. حالما يتم تثبيتها، يقوم الـ Trojan بإنشاء نسخة من نفسه ويتم التعديل على الـ Registry لتقوم بتنفيذ هذه النسخة عند كل إقلاع للنظام. بعدها، تحاول الاتصال بعنوان IP محدد لتقوم بتحميل برمجيات خبيثة مختلفة أخرى. Trojan.Downloader.Delf.RUJ بحد ذاته برمجية خطيرة على البيانات الشخصية والمالية للمستخدمين.

للوقاية من الإصابة، لا تقم بفتح ملفات قبل فحصها بمكافح فيروسات معتبر، وإن أردت اختبار مثل هذا المنتج فاحصل على نسخة من الموقع الرسمي له.

لقراءة المزيد من التفاصيل حول الخبر يمكن مراجعة التدوينة.

وسوم: , , , ,

BitDefender تحذر من malware ينتحل صفة إضافة لمتصفح Chrome

الكاتب Xacker | في Security | بتاريخ: 25 أبريل 2010 لا يوجد تعليقات

BitDefender  تحذر من malware ينتحل صفة إضافة لمتصفح Chrome

نشرت شركة BitDefender على  مدونتها  تحذيراً للمستخدمين حول ما يعتقد كونه أول برمجية خبيثة تنتشر من خلال التنكر كإضافة لمتصفح Chrome.

حيث انتشر بريد إلكتروني يروج لإضافة جديدة يصفها بـ “أنها ستساعدك على ترتيب ملفاتك المستلمة في البريد بصورة أفضل“.

يتضمن البريد الإلكتروني هذا رابطاً ينتقل بالمستخدم إلى صفحة مزورة لإضافات Google Chrome. هذه الصفحة تتضمن رابطاً آخر لا يشير إلى إضافة (والتي تملك عادة لاحقة .crx) وإنما إلى ملف تجسس trojan horse بلاحقة .exe

يقوم هذا الملف بتعديل ملف HOSTS على نظام Windows ليقوم بتحويل الاتصالات الصادرة إلى موقعي Yahoo و Google إلى نسخ مزورة من هذه المواقع.

برنامج BitDefender يقوم باكتشاف هذا التهديد ويحدده باسم Trojan.Agent.20577.

لقراءة المزيد من التفاصيل حول الخبر يمكن مراجعة الرابط.

وسوم: , ,