خبر

‏‏بالو ألتو نتوركس: شمعون 3 يتخفى خلف ‏‏آية من القرآن‏‏ الكريم‏

‏‏كشفت بالو ألتو نتوركس‏‏ Palo Alto Networks، الشركة الرائدة في تطوير الجيل التالي من الحلول الأمنية، اليوم‏‏ عن تفاصيل جديدة عن‏‏ هجمات الجيل الجديد من البرمجية الخبيثة W32.Disttrack.B المسماة “شمعون 3” Shamoon، والتي استهدفت ‏‏إحدى شركات الغاز والنفط ‏‏الشهر‏‏ الماضي‏‏، وحدد‏‏ت الشركة ‏‏أثناء بحث‏‏ه‏‏ا المستمر‏‏ ‏‏فيروس ‏‏آخر يحذف‏‏ ‏‏ا‏‏لملفات يحتمل أنه على صلة بالواقعة التي تضمنت فيروس حصان طروادة سيء الصيت ‏‏و‏‏المعروف باسم “ديستراك” Disttrack،‏‏ والذي يتخفى خلف آية من القرآن الكريم.‏

وقد ‏‏عمد‏‏ت الجهات‏‏ ‏‏ال‏‏مطو‏‏ر‏‏ة‏‏ ‏‏ل‏‏هذا الفيروس ‏‏الذي يحذف الملفات‏‏ إلى استخدام التعليمات البرمجية لأداة “سوبر ديليت” SuperDelete ومن ثم تعديلها لإنتاج إصدار جديد معدل، وكانت النتيجة فيروس حصان طروادة ‏‏ل‏‏مسح الملفات مكتوب بلغة “سي شارب” ‏‏البرمجية‏‏.

ولا يحتوي هذا الفيروس على وظائف إضافية أخرى سوى قدرته على حذف ملفات على النظام، ولهذا، وبخلاف نماذج سابقة من فيروس “ديستراك”، فإن هذا الفيروس لا يستطيع الانتشار إلى أنظمة أخرى على الشبكة، كما إنه يختلف عن فيروس “ديستراك” في عدم اعتماده على مشغلات نواة النظام لحذف الملفات.

ويقوم هذا الفيروس المعدل من أداة “سوبر ديليت” بكتابة بيانات عشوائية في ملفات المستخدم قبل أن يبادر إلى حذفها، مما يجعل استعادة الملفات المحذوفة ‏‏أمرًا صعبًا ‏‏من دون نسخ احتياطي لها، أما ‏‏الجانب ‏‏الأكثر إثارة للاهتمام في هذا الفيروس فيكمن في ‏‏تعمد مطوره إضافة رسالة دينية من آية في القرآن‏‏ الكريم. ‏

‏‏وبالتحليل‏‏ المستمر لهذا الفيروس الذي يستخدم التعليمات البرمجية لأداة “سوبر ديليت” المذكورة، اكتشف‏‏ت شركة بالو ألتو نتوركس‏‏ وجود ملفين تنفيذيين ‏‏يعتقد‏‏ أن المهاجمين ‏‏قد ‏‏استخدموهما لتنفيذ هذا الفيروس على عدة أنظمة، وذلك بنشره في أجهزة أخرى حاضنة انطلاقًا من نظام متصل بشبكة مخترقة. ‏‏

موضوعات ذات صلة بما تقرأ الآن:

وأطلق‏‏ ‏‏على‏‏ هذين الملفين التنفيذيين الداعمين للفيروس باسمي “حصان طروادة الناقل” و”حصان طروادة الناشر”، ويرجح أنه يجري تحميلهما على أحد الأنظمة المخترقة على الشبكة بهدف تحويله إلى نقطة مركزية لتوزيع الفيروس الماسح على أنظمة بعيدة. ‏

‏‏‏‏وبال‏‏رغم من أن هجمات شمعون الأخيرة كانت قد ‏‏شهدت‏‏ ‏‏استخدام‏‏ أداة “ديستراك” سيئة السمعة والمستخدمة في هجمات ‏‏‏شمعون‏‏‏‏ السابقة، ‏‏إلا‏‏ أن المهاجمين قد استخدموا أيضًا فيروس حصان طروادة ثان لتدمير بيانات على الأنظمة في الشبكات المستهدفة.

كما يتضح استخدام المهاجمين لأسلوب مماثل في توزيع هذا الفيروس الماسح انطلاقًا من موقع مركزي على الشبكة المخترقة، وذلك باستخدام قائمة من أسماء أجهزة مضيفة لغرض نسخ الفيروس إلى أنظمة أخرى على الشبكة. ‏

و‏‏يستند الفيروس الماسح المرتبط بهجمات شمعون 3 على التعليمات البرمجية ذاتها لأداة “سوبر ديليت” مفتوحة المصدر، ويمتلك هذا الفيروس القدرة فقط على الكتابة فوق محتوى الملفات وحذفها هي والمجلدات، كما يعتمد لأجل التنفيذ على حصاني طروادة، أحدهما ناقل والآخر ناشر.

وتعد الرسالة الدينية ضمن الفيروس مثيرة للاهتمام لأنها تعمل كرسالة قد تشير إلى دوافع المهاجمين، ‏‏وربطت الشركة ‏‏احتمال استخدام هذا الفيروس الماسح في واقعة شمعون 3، والتي دخل فيها فيروس “ديستراك” الذي استغل في الماضي ‏‏ل‏‏نشر صور سياسية ‏‏في ‏‏الملفات ‏‏المستهدفة، ضمن ‏‏هجمات شمعون وشمعون 2، ‏‏و‏‏يتمتع عملاء بالو ألتو نتوركس ‏‏بحماية ‏‏من هذا الفيروس المعدل ‏‏والمستمد ‏‏من أداة “سوبر ديليت”. ‏

أخبار متعلقة :