vbs malware المرض الذي ما زال مستشري
بدأت القصة في صبيحة يوم ماطر و الملل عم ياكل بعقلي ...فجأة يأتيني رابط ("عأساس برنامج اختراق الفيسبوك....بلا...بلا...بلا") كالعادة شفت الرابط
الرابط كان تابع ل "http://rgho[.]st"
أنا طبعا فتحت الرابط ...حملت الملف الذي كان للأسف ملف vbs
حللتوا الكود و طلع مجرد encoded worm يعني شوية تمويه ....المهم أنا خطر على بالي فكرة ...وضعت بمربع البحث "vbs."
لأتفاجأ بالكم الهائل من الملفات يالي كل أسمائها بتوحي بأنها ملوثة(كان موجود ملفات عمرها بالسنتين عالاستضافة..هل يعقل هالشي من الاستضافة ..كيف بتسمح بتواجد هالملفات)
فضولي دفعني حمل مجموعة من هالملفات و حللها
كان الشي الملاحظ وجود ملفات غير مشفرة حتى و لا زالت موجودة عالموقع مثل يالي بالصورة تحت
الملفات ما كانت فقط worms...كان في عبارة عن ناسخ أو دروبر dropper فيروس تاني بصيغة تنفيذية (نجرات-سايبر غيت-بيفروست......)
مثال عليه الملف يالي بالصورة تحت لما فكيت تشفيرو و تبين إنو ملف بينسخ قيم هيكس لسيرفر نجرات بمجلد ال temp
المشكلة الكبرى إنو الأغلب المسميات تدعو للريبة و لكن لقلة الوعي في ملفات عدد تحميلها كبيييير ...و المسميات طبعا أغلبها عربي و الhosts أغلبها تابع لدول عربية ....أغلبها تحت مسميات إباحية للجذب أكتر
الخلاصة :
صرنا عأبواب العام 2017 و لا زالت الشعوب العربية جاهلة الكترونيا و في ناس بتحمل ملفات vbs على إنها فيديوهات اباحية(ما يا أخي في مواقع بورن ...ضروري تنزل كيف ما كان) ....أغلب ملفات ال vbs هي ملفات تستعمل كملفات خبيثة
اذا لا داعي لتنزيلها أو تشغيلها تحت أي مسمى
بالنهاية بهالصورة أغلب ال hosts يالي استخرجتها:
صورة للملفات يالي سحبتها :
الرابط كان تابع ل "http://rgho[.]st"
أنا طبعا فتحت الرابط ...حملت الملف الذي كان للأسف ملف vbs
حللتوا الكود و طلع مجرد encoded worm يعني شوية تمويه ....المهم أنا خطر على بالي فكرة ...وضعت بمربع البحث "vbs."
لأتفاجأ بالكم الهائل من الملفات يالي كل أسمائها بتوحي بأنها ملوثة(كان موجود ملفات عمرها بالسنتين عالاستضافة..هل يعقل هالشي من الاستضافة ..كيف بتسمح بتواجد هالملفات)
فضولي دفعني حمل مجموعة من هالملفات و حللها
كان الشي الملاحظ وجود ملفات غير مشفرة حتى و لا زالت موجودة عالموقع مثل يالي بالصورة تحت
الملفات ما كانت فقط worms...كان في عبارة عن ناسخ أو دروبر dropper فيروس تاني بصيغة تنفيذية (نجرات-سايبر غيت-بيفروست......)
مثال عليه الملف يالي بالصورة تحت لما فكيت تشفيرو و تبين إنو ملف بينسخ قيم هيكس لسيرفر نجرات بمجلد ال temp
بالصورة تحت مثال عالكود المستخدم بحفظ القيم و تنفيذها....
الخلاصة :
صرنا عأبواب العام 2017 و لا زالت الشعوب العربية جاهلة الكترونيا و في ناس بتحمل ملفات vbs على إنها فيديوهات اباحية(ما يا أخي في مواقع بورن ...ضروري تنزل كيف ما كان) ....أغلب ملفات ال vbs هي ملفات تستعمل كملفات خبيثة
اذا لا داعي لتنزيلها أو تشغيلها تحت أي مسمى
بالنهاية بهالصورة أغلب ال hosts يالي استخرجتها:
تعليقات
إرسال تعليق