المدرسة الابتدائية المدرسة الابتدائية

موقع المدرسة الابتدائية هو موقع تربوي تم إنشائه من طرف أساتذة يدرسون بالسلك الابتدائي.

recent

جديد

recent

برنامج خبيث جديد يدمر الحاسوب عند اكتشافه

مشاركة

البرنامج إسمه "Rombertik"  وهو من البرامج الخبيثة التي لها خصائص مدهشة وجد خطيرة. وهي تهدف إلى سرقة المعلومات الشخصية والتجسس، وفي حالة اكتشافه هنا تكمن الخطورة : في حالة اكتشافه فإنه يسبب أكبر ضرر ممكن، ويجعل الجهاز يدور في دوامة لا نهاية لها أثناء الإقلاع وعدة أشياء أخرى سنتعرف عليها في هذا المقال.

البرنامج "Rombertik" لص يقوم بحملات صيد تقليدية

البرمجيات الخبيثة ظهرت مند ما يقارب 20 سنة، وكان هدف العديد منها أساسا هو تسميم حياة المستخدمين من خلال تدمير البيانات الخاصة بهم. مع انتشار شبكة الإنترنت، اكتشف القراصنة أن هناك أشياء أفضل للقيام : كسرقة المعلومات ونقلها واختراق الأنظمة المعلوماتية. وهذه كانت بداية لبرمجة المزيد من البرمجيات الخبيثة  التي يمكن لها أن تبقى مخفية على الجهاز ، ويعد ذلك يمكن أن تنجز مهمتها في التجسس والسرقة.
"Rombertik" لص معلوماتي بامتياز. فهو يحاول سرقة كل شيء تقريبا الذي يمر من خلاله، على أمل الحصول على القليل من البيانات، بما في ذلك أسماء المستخدمين وكلمات المرور.

البرنامج قادر على مراوغة برامج الحماية

يصيب هذا البرنامج الأجهزة في غالب الأحيان  عن طريق البريد الإلكتروني. حيت يظهر هذا الأخير على أنه عبارة عن نص الشيء الذي يمكن تضليل أي مستخدم لذلك وجب الحذر ثم الحذر من الرسائل المجهولة المصدر، ويوهم المتلقي أنه من شركة معروفة كالويندوز مثلا  ويطالب بفتح وثيقة مقدمة على أنها وثيقة PDF مع نموذج مصغر يدل على الإدراج، ولكن في الحقيقة هي عبارة عن لغم محضر من طرف المسمى "Rombertik".

في الواقع هو عبارة ملف بامتداد ".SCR"، المستخدمة من قبل ويندوز من أجل " les écrans de veille"
 من المرحلة الأولى الأولى،  يبدأ بتطبيق سلسلة طويلة من الخطوات، في السلسلة الأولى منها يتحقق إن كان يستطيع العمل دون أن يكتشف من طرف برامج الحماية إن تبين له العكس يبدأ بتنفيد العديد من الآليات الفريدة من أجل الفرار.
برامج الحماية ما زالت تعمل دون الشعور به، ولا تزال في مكانها لأسباب تتعلق بالسلامة، وقد تكون مصحوبة بالأدوات اللازمة لتحليل سلوكات البرامج. "Rombertik"  بدلا من البقاء متخفي وانتظار ساعته، سوف يكتب 960،000،000 مرة بايت واحد في الذاكرة لتمرير الوقت، ولن تعتبرها بعض برامج الحماية مشبوهة، الشيء الذي يتقل كاهل أدوات التحليل. وفقا لشركة سيسكو، إنشاء سجل من هذا النشاط من شأنها أن ينتج ملف  بحجم يفوق بكثير"100 GB". وفي حالة إكتشافه يتوقف"Rombertik" عن العمل . وفي حالة الهجوم ،  يكمل مع آليات أخرى للهروب من منطقة التخزين.
Rombertik

97٪ من شفرة Rombertik لا قيمة لها على الاطلاق

عندما تهدأ الأجواء، Rombertik يقوم بإطلاق "script" للتأكد من تشغيله عند بدء التشغيل. ثم ينسخ ويختفي في المجلد  "AppData". والنسخة هي التي من شأنها أن تفعل العمل الأهم، وتكشف عن خصائص غريبة.  حجمه حوالي 1264 KB، في حين حجمه المضغوط حوالي 28 KB.  في الواقع، 97٪ من شفرة Rombertik لا قيمة لها على الاطلاق. وهو يحتوي على 75 صورة لا لزوم لها وحوالي 8000 خاصية لا تستعمل أبدا. كل هذه الوظائف تجعل مهمة الكشف عنه من طرف برامج الحماية جد صعبة.
من هنا، يبقى البرنامج الخبيث ينشط ويقوم بمهمته في التجسس. والذي يجعل Rombertik "فعال" هو توفره على  عدد من آليات الهروب من برامج الحماية والتختفي منها اذا ما تم الكشف عنه. وفي هذه الحالة ، فإن المستخدم ربما يفقد الكثير من البيانات.....

عندما يكتشف، سيقوم بتدمير كل الحاسوب والبيانات

في الأيام الأولى من عملها، فإن البرنامج الخبيث يبدأ بإطلاق سلسلة أخيرة من الأوامر التحققية. فيبدأ بالتحقق من ما إذا كان التحليل يكون يدويا أو تلقائيا ،ويبدأ  بالأعمال العدائية في حالة إكتشافه، يحاول أولا إعادة كتابة MBR  يعني  (Master Boot Record) على القرص الثابت الأول المشار إليه بواسطة الجهاز ( PhysicalDisk0 ) . إذا كان لديه إذن ،العملية تكون ناجحة و الجهاز لن يستطيع العمل.. وإذا لم يكن لديه حقوق كافية يخرج الأسلحة الثقيلة . سيبدأ بالبحث عن الملفات الموجودة في ( Documents et Settings\Administrator)  لتشفير الملفات واحدا تلو الآخر مع مفتاح RC4 بشكل عشوائي لكل منها. عندما تتم إعادة كتابة MBR وتنتهي الملفات من التشفير، يتم إعادة تشغيل الكمبيوتر.
Rombertick

حتى لو تم تصليح المشكل وإعادة كتابةMBR ستجد أن البرنامج قام بمجموعة من التعديلا والجهاز سيقوم بلإعادة التشغيل في كل مرة و تظل إمكانية  استرجاع  المعلومات ممكنة من الناحية الفنية عن طريق إستخراج القرص الصلب  في محاولة لاستعادة البيانات، أو إعادة تثبيت نظام التشغيل.

أفضل دفاع ضد هذا البرنامج الخبيث هو تحذيث برامج الحماية والقضاء عليه  قبل أن يدخل الحلبة. ويبق الحذر هو سيد الموقف...
أتمنى أن ينال الموضوع إعجابك، قد يستفد غيركم من المقال في حالة نشره 
والسلام عليكم

هل أعجبك الموضوع ؟

التعليقات

التعليم الثانوي الإعدادي

التعليم الثانوي التأهيلي

صفحتنا على الفايسبوك

الاسم





الرسالة *



جميع الحقوق محفوظة

المدرسة الابتدائية

2016

حذف القائمة