https://www.eff.org/deeplinks/2012/03/fake-youtube-site-targets-syrian-activists-malware


أفادت EEF في الأسبوع الماضي عن حالتين من استهداف برامج خبيثة من الحكومة
السورية لنشطاء سوريين من خلال روابط أرسلت في محادثات و أيميلات. شاهدنا
هذا الأسبوع برنامج ويندوز خبيث جديد نشر من خلال موقع يوتيوب وهمي يستضيف
فيديوهات المعارضة السورية.

في الأسفل لقطة شاشة عن صفحة اليوتيوب
المزيفة والتي هاجمت المستخدمين بطريقتين: تطلب منك إدخال بيانات تسجيل
 الدخول لترك التعليقات، وتقوم بتثبيت برنامج خبيث متخفي كتحديث لأدوبي
فلاش بلاير.

 

وقد
حذف هذا الموقع الخادع، ولكن إذا واجهت صفحة مماثلة لا تدخل بيانات تسجيل
دخولك لليوتيوب لترك التعليقات. وإذا قمت بتسجيل الدخول بالفعل لهذا الموقع
(أو لموقع مشابه) لترك تعليق فاتبع الخطوات المشار إليها  أدناه لمعرفة
إذا كان جهازك قد أصيب،وقم بتغيير كلمات المرور لكل من يوتيوب وجميل من
جهاز غير مصاب على الفور. وقد ترغب أيضاً باتخاذ خطوات إضافية للتأكد من أن
حسابك على جيميل آمن  بما في ذلك تمكين خاصية التحقق المضاعف والتدقيق
لمعرفة إذا كان قد تم إضافة عناوين ممررة أو حسابات مفوضة مشبوهة إلى
حسابك.

إذا واجهت صفحة مماثلة لا تنقر على "تثبيت" لتحيث فلاش يلاير.
النقر على التثبيت سيحمل ملف "setup.exe" وهو ملف دوت نت ويتطلب دوت نت
لتشغيله. وبمجرد تثبيته (the dropper) سيتصل بعنوان من فضاء عناوين الـ IP
السورية ويقوم بتنزيل برامج خبيثة إضافية والتي ستعطي المهاجم الدخول كمدير
(administrator)لجهازك.

لتعرف إذا كان جهازك قد أصيب ألق نظرة على الملفات التالية:

هذه
الملفات هي ملفات نظام ولن تكون مرئية بشكل افتراضي. لتغيير إعداداتك
وجعلها مرئية في ويندوز 7 اذهب إلى ابدأ --> لوحة التحكم --> المظهر و
التخصيص  --> عرض الملفات والمجلدات المخفية (لاحظت أنو مو هيك
الخيارات بويندوز 7 في شي بلوحة التحكم اسمو folder options  منو اختيار
عرض الملفات المخفية)، ثم حدد (زرالراديو) خيار عرض الملفات والمجلدات
والسواقات المخفية . أزل خانة الاختيار المسماة "إخفاء ملحقات أنواع
الملفات المعروفة". وأزل خانة الاختيار المسماة "إخفاء ملفات تشغيل النظام
المحمية"

 

C:\Documents and Settings\Administrator\Local Settings\Temp\sysglobl.exe

C:\Documents and Settings\Administrator\Local Settings\Temp\mscordbc.exe

في نظام ويندوز 7 يمكنك إيجادهم هنا:

 

C:\Users\Administrator\AppData\Local\Temp\sysglobl.exe

C:\Users\Administrator\AppData\Local\Temp\mscordbc.exe

يمكنك رؤية كل من الملفين في لقطة الشاشة بالأسفل:

 

 

ماذا تفعل في حالة إصابة جهاز الكمبيوتر الخاص بك:

في
حالة إصابة جهاز الكمبيوتر الخاص بك فإن حذف الملفات المذكورة أعلاه لا
يضمن أن جهازك سيكون آمناً. هذا الاختراق يعطي المهاجم في نهاية المطاف
القدرة على تنفيذ إجباري لتعليمات برمجية على جهاز الكمبيوتر المصاب. ليس
هناك ما يضمن ان المهاجم لم يثبيت برامج ضارة إضافية عندما كان متحكماً في
الجهاز. أسلم إحراء هو إعادة تثبيت نظام التشغيل على جهاز الكمبيوتر الخاص
بك وتغيير جميع كلمات السر لأي حسابات من الممكن أن تكون قد سجلت الدخول
إليها بينما كان الجهاز مصاباً.

 

تشعرEFF بقلق عميق حول هذا
النمط من البرامج  الخبيثة للحكومة التي تستهدف الناشطين على شبكة الإنترنت
في الأنظمة الاستبدادية. سوف نستمر في المراقبة عن كثب  للتطورات
المستقبلية في هذا المجال.