بررسی تروجان ایرانی اسید

درباره تروجانی که با موضوع اسیدپاشی کامپیوترها رو آلوده کرده بود، چند روز پیش نوشته بودم. حالا دوست عزیزی به نام پارسا شایگان تروجان مورد نظر رو بررسی کرده و نتیجه رو برام فرستاده که اینجا منتشر می‌کنم. نتایج این بررسی‌ها نشون می‌ده که این تروجان به صورت کاملاً حرفه‌ای و برای مقاصد خاص نوشته شده. هدف به طور دقیق مخاطبان و علاقمندان و دنبال‌کنندگان اخبار اجتماعی ایران بوده. در واقع نویسنده قصد داشته تمام گذرواژه‌های این افراد رو بدزده و ازشون سوءاستفاده کنه. اگر علاقمندید که بدونید این تروجان چطور کار می‌کنه این متن رو بخونید:

فایل asid.rar که به ایمیل ضمیمه شده بود، شامل فایلی است به نام asid.exe. این فایل، یک فایل فشرده‌شده است که حاوی دو فایل دیگر به نام‌های زیر است:

winzip.exe

asid.docx

در تصویر پایین می‌بینید که بعد از اجرای فایل asid.exe ابتدا فایل asid.docx اجرا می‌شود که یک فایل متنی است. فایل متنی که احتمالاً از روی وبلاگ‌هایی کپی شده که درباره ماجرای قصاص اسیدپاشی نوشته بودند.

بعد از اجرای این فایل متنی، فایل winzip.exe اجرا می‌شود. این فایل بسته به نوع سیستم‌عامل، فولدرها و فایل‌های زیر را ایجاد می‌کند:

۱- در ویندوزهای دسته اول یعنی ۹۸ یا XP در مسیر C:\Programfiles\CommonFiles فولدری با نام VMConvert32 ایجاد می‌کند.

۲- در ویندوزهای دسته دوم یعنی ۲۰۰۸، ویستا یا هفت (سون) در مسیر AppData\Roaming فولدری بانام VMConvert32  ایجاد می‌کند.

در این فولدر فایل‌های زیر دیده می‌شود:

  • فایل wmccds.exe فایل اجرایی تروجان است.
  • فایل wmccds.ini تنظیمات تروجان را شامل می‌شود.
  • فایل wmccds.dat اطلاعات ذخیره‌شده را در خود نگهداری می‌کند.

همچنین بعد از اجرای winzip.exe علاوه بر فولدرهای بالا در رجیستری کلیدی ایجاد می‌شود تا برنامه را به این صورت اجرا کند:

خب حالا به بخش جالب ماجرا می‌رسیم. بعد از یک بار ری‌استارت کامپیوتر برنامه همراه explorer.exe در ویندوزهای دسته اول و به صورت یک پروسس مجزا در ویندوزهای دسته دوم اجرا می‌شود. بعد از راه‌اندازی ویندوز، تروجان شروع به کار کرده و تمامی اطلاعاتی را که در کلیپ‌برد وارد می‌کنید (همان جای موقتی که نوشته‌ها را بعد از کپی در خود نگه می‌دارد تا آن را در جایی که می‌خواهید پیست کنید) و برنامه‌های اجرا شده در سیستم و هر کلیدی را که فشار می‌دهید، در فایل wmccds.dat ذخیره کرده و به محض اتصال به اینترنت، فایل گزارشی با نام temp997.htm ایجاد کرده و برای آدرس تعریف شده در تروجان (مثلاً ایمیل یا سرور نویسنده این تروجان) ارسال می‌کند.

توجه داشته باشید که این تروجان تمام اطلاعات و گذرواژه‌های ذخیرهشده در مرورگرهای اینترنت اکسپلورر، فایرفاکس و اپرا را هم استخراج کرده و آنها را هم ارسال می‌کند. دراین برنامه همچنین امکانی تعریف شده تا بتواند با اتصال به سروری که در دل برنامه تعریف شده، برنامه‌های دیگری را روی سیستم دانلود و اجرا کند.

این برنامه به از طریق ایمیل و فلش مموری تکثیر می‌شود. این هم نمونه‌ای از متن ارسالی توسط این برنامه:

Thousands of endangered penguins have been coated with oil after a cargo ship ran aground and broke up on a remote British South Atlantic territory, officials and conservationists said Tuesday.The shipwreck also threatens the lobster fishery that provides a livelihood to one of the worlds most isolated communities. The Malta-registered MS Olivia was grounded on Nightingale Island in the Tristan da Cunhachain last week. The ship had been traveling from Brazil to Singapore and contained 1,500 metric tons (1,650 tons) of crude oil and a cargo of 60,000 metric tons (66,000 tons) of soya beans.

فایل پیوست این ایمیل با نام main937.exe ارسال می‌شود. برای پاکسازی کافی‌ست فولدرهای برنامه را به صورت کامل پاک کنید. این تروجان تا الان به ۶ تا از پژوهشگاه‌های و آزمایشگاه‌های ویروس‌شناسی گزارش داده شده. احتمالاً تا دو سه روز آینده تمام ویروس‌کش‌ها اون رو شناسایی خواهند کرد.

 

مراقب ایمیل با عنوان «اسیدپاشی» باشید

قبلاً هم گفته بودم که یکی از روش‌های مورد علاقه هکرها، روش مهندسی اجتماعیه. اونها سعی می‌کنن ایمیل‌هایی که حاوی فایل‌های آوده هستند رو ارسال کنند و برای این که شما به باز کردن ایمیل‌ها و کلیک روی لینک یا دریافت فایل ضمیمه آلوده، تحریک بشید، عنوانی جذاب رو براتون انتخاب کنند.

چند وقت پیش ایمیل‌هایی با موضوعات مربوط به «ازدواج سلطنتی» دامنگیر مردم دنیا شده بود. امروز نمونه ایرانی این نوع ایمیل‌ها هم دیده شد. البته قبلاً هم بارها این اتفاق افتاده. اما با توجه به مسأله اسیدپاشی که یکی از مباحث مهم و پربحث این روزهاست، هکرها اقدام به استفاده یا بهتره بگم سوءاستفاده از این جریان کردند.

امروز یکی از دوستانم ایمیلی دریافت کرد با عنوان «اسید پاشی/ جنایت و مکافات». داخل این ایمیل یک فایل ۱۲۱ کیلوبایتی بود به نام asid.rar  که از قرار معلوم فیشینگ رو انجام می‌ده. به عبارتی گذرواژه‌های شما رو می‌دزده و برای صاحبش ارسال می‌کنه.

فرستنده این ایمیل ممکنه یکی از دوستان شما باشه که روحش هم از این ماجرا خبر نداره. در واقع کسی که کامپیوترش آلوده می‌شه خبر نداره که این فایل جاسوس، داره از طرف اون برای دوستاش یک نسخه از خودش رو ارسال می‌کنه. به هر حال اگر چنین ایمیلی از دوستتون دریافت کردید یک سره روانه سطل آشغالش کنید. اگر هم چنین اشتباهی کردید، بلافاصله کامپیوترتون رو از نظر ویروس و تروجان چک کنید و پسوردتون رو عوض کنید.

دوستان پس از هک کردن جی‌میل این دوستمون، وارد میل‌باکس شدند و چرخی هم زدند. این هم گزارش لاگین کردنشون و البته آی‌پی که در اسکرین‌شات زیر قابل مشاهده هست. ضمن این که با این آی‌پی مشخصاتی هم در این سایت ثبت شده که آدرس ساختمان شاهد سازمان مخابرات ایران واقع در بزرگراه کردستان رو نشون می‌ده. الله اعلم!

پ.ن: گویا محتوای این فایل رو که باز کنید، یک تعداد از مطالب کپی شده از وبلاگ‌هایی رو خواهید دید که درباره اسیدپاشی نوشته شده. برای مثال عنوان این ایمیل دقیقاً همون عنوانی هست که وبلاگ تخواب دونفره برای این مطلبش گذاشته بود. یعنی هکرها، از این مطالب سوءاستفاده کردند.

ادامه

یا محول الپیج المشترک الگرامی

الحمد لله رب العاملین که نزدیک به دو ساله که توی سایت‌ها که می‌چرخم، به در بسته نمی‌خورم. تا حالا نشده که سایتی رو ببینم که جلوش رو گرفته باشن. این موضوع علاوه بر لذت شخصی که از اینترنت می‌برم، یه جور عذاب وجدان هم برام به همراه داره. آدمی رو تصور کنین که داره غذا می‌خوره و یکی دیگه رو می‌بینه که داره نگاهش می‌کنه. این جور وقت‌ها لقمه به سختی از گلوم پایین می‌ره.
خلاصه به نظر میاد که کمیته فیلترینگ تصمیم گرفته تا تغییری رو در صفحه مشهور «مشترک گرامی بلاه بلاه بلاه» به وجود بیاره (ببینم معادل بلاه بلاه در فارسی باید یه چیزی باشه در مایه‌های فیلان و پیسار نه؟)
در طراحی جدید صفحه مشترک گرامی، از قرار یک سری سایت پیشنهادی هم گذاشته شده. اما خب این که چطوری این سایت‌ها رو انتخاب کردن، واسه خودش یه سؤال بزرگه. اما نکته بعدی اینه که این وب‌سایت‌ها رو از سایتی به نام مفید لینکز میارن توی صفحه مشترک گرامی. حالا سایت مورد نظر مال مخابراته؟ نه مالکیت این سایت به نام یک شخص ثبت شده. در واقع طبق اطلاعاتی که در سایت نیک دات آی آر موجوده، آقای مجید صاقیان مالک سایت مفید لینکز هستن. سؤال دوم برای من اینه که شرکت مخابرات ایران، بر اساس چه قانونی حق داره ترافیک سایت‌های فیلترشده رو به سمت یک سایت شخصی هدایت کنه؟ دیگه کم مونده که مخابرات عزیز برای این صفحه دلچسب و پربازدیدکننده، یه سری آگهی تبلیغاتی هم بگیره. خداییش نامردیه اگه به این ایده عمل کنین و به من پورسانت ندید. این هم پروپوزال. البته اجازه بدین که اعتراف کنم این پیشنهاد، ابتکار خودم نیست. دقیقاً سه سال و نیم پیش شرکت سپنتا، همچین ابتکاری رو برای صفحات مشترک گرامی، به کار گرفته بود که حکایتش رو همون موقع اینجا نوشتم.
اما نکته دردناک برای من خوندن مطلب «سال نو و صفحه فیلترینگ نو» از سایت خوب آی‌کلاب بود که بد نیست شما هم بخونین.

ادامه

معرفت به انگلیسی می‌شود چی؟

صبح بود که با صدای بوق منقطع اما کشدار اف‌اف از خواب بیدار شدیم. مهندسی بود که از طرف شرکت مخابرات در یک روز از تعطیلات کریسمس به خانه جدید آمده بود تا تلفن را وصل کند. یک مرد سیاه‌پوست به نام مایکل که بعد از پنج دقیقه بررسی سیم‌کشی اعلام کرد باید مشکل را از اتاقکی در پایین مجتمع حل کند. مشکل اینجا بود که کلید آن اتاقک در دست یک بخش اداری شهرداری منطقه یا چنین جایی بود که مسلماً نمی‌شد روز تعطیل به آنجا کشاندشان. این یعنی تلفن یک هفته دیرتر وصل خواهد شد و به دنبالش دو هفته تأخیر در وصل شدن اینترنت. با بهرنگ مشغول غر زدن زیر لبی بودیم که از ما پرسید کجایی هستیم. همین که متوجه شد ایرانی هستیم و در بی‌بی‌سی کار می‌کنیم، گل از گلش شکفت و شروع کرد درباره وقابع اخیر ایران حرف زدن. اطلاعات بسیار کاملی از ایران داشت و معلوم بود تمامی وقایع را از سال‌ها پیش دنبال می‌کند. تقریباً تمام مستندهای تلویزیونی را که درباره ایران از شبکه‌های مختلف پخش شده بود، می‌دید. تلویزیون‌ها را از بی‌بی‌سی و سی‌ان‌ان تا پرس تی‌وی دنبال می‌کرد و خلاصه از مردی که سال‌ها پیش از هند به ایران آمده بود – و ما آخرش نفهمیدیم منظورش که بود- تا ماجرا سقوط هواپیمای مرحوم دادمان، وزیر راه و ترابری را می‌دانست. خلاصه به هر دری زد تا کارمان را راه بیندازد. با چند جا تلفنی صحبت کرد و کلید را بعد از دو بار رفتن و آمدن پیدا کرد و سیم‌کشی داخلی آغاز شد. در حین کارش که چند ساعتی طول کشید کلی با او گپ زدیم و بارها با وسعت اطلاعاتش متعجبمان کرد. کارش که به پایان رسید، او را به یک لیوان چای لاهیجان و کلوچه نوشین دعوت کردیم. مرتباً می‌گفت که این کار لازم نیست، من دارم وظیفه‌ام را انجام می‌دهم. شغلم این است و الخ. ما هم هر طور بود نمک‌گیرش کردیم و چای و کلوچه را به خوردش دادیم. با شوخی گفت که اخلاق شما شرقی‌ها خیلی جالب است. به خانه عرب‌ها که برای کار می‌روم به من میوه می‌دهند و ایرانی‌ها همیشه چای دم دستشان است. گفتیم و خندیدیم و رفت. چند ساعت بعد زنگ زدیم به شرکتش تا از معرفتی که به خرج داده بود تشکر کنیم. معرفتی که واژه چندان متناسبی برای ترجمه به انگلیسی نمی‌شد برایش پیدا کرد.

ای صاحب موبایل، آهسته بران

Slowیادم نیست در همین سفرهای استانی عصیان بود یا سفرهای عصیانی استان. حالا زیاد فرقی نمی‌کنه. متوجه شدم که سیستم بی‌تی‌اس مخابرات به طور کامل در تمام استان راه‌اندازی شده است. شاید بد نباشد یک توضیح کوچکی بدهم برای آنها که نمی‌دانند BTS چیست. در واقع BTS همیشه برای موبایل‌ها فرستاده می‌شود اما کامنت همراه آن که شامل نام دکل هست، چیزی است که در گیلان فعال شده است (توضیحات را این دوست عزیز در کامنت‌های این مطلب برایم نوشته بود). در واقع شما می‌توانید با یک نگاه به صفحه موبایلتان و خواندن نام دکل متوجه شوید که کجای شهر یا جاده هستید.
حالا همه این‌ها را گفتم که بهتان عکسی را نشان بدهم که همین روزها از صفحه موبایلم گرفته‌ام. در واقع در این نقطه‌ای که عکس گرفته شده است، یک پیام هشداردهنده را به جای نام دکل ارسال کرده‌اند: AHESTEH BERANID

ای‌دی‌اس‌ال ما داریم می‌آییم

از اون‌جایی که گوش شیطون کر در منطقه مخابراتی ما (شهید مفتح) شرکتی که به دلایل تبلیغاتی اسمش رو نمی‌برم، شروع کرده به این‌که اینترنت ADSL بده، ما بسیار ذوق‌مرگ هستیم و قرار هست اگر مسلمان نشنود کافر نبیند مال ما هم فردا نصب بشه (بی‌تربیت نشو)، خلاصه ما از همین الآن اندر کف به سر می‌بریم فطیر. در این حین، بله دقیقاً در همین حین دوستان دیگرمان که در مناطق مخابراتی دیگر به سر می‌برند که اینترنت ADSLشان نمی‌شود (این اصطلاح اینترنت ADSLشان نمی‌شود یک چیزی مثل بچه‌شان نمی‌شود است)، بسیار زانوهای غم خود را محکم به بغل گرفته و دپرس شده‌اند، آن‌وقت ما یک جست‌وجوی سردستی کردیم و برای چند نفرشان کاشف به عمل آمد که مناطقشان ای‌دس‌اس‌ال‌شان می‌شود. از کجا؟ آها. عرض می‌کنیم خدمتتان که این سایت جست‌وجوگر ارتباط اینترنت یا اینترنت فایندر با گرفتن پیش‌شماره‌ها به شما اطلاع می‌دهد که کدام شرکت‌ها در منطقه شما اینترنت می‌دهند. شما هم می‌توانید بر حسب نوع ارتباطی که می‌خواهید داشته باشید اعم از دایال-آپ، ای‌دی‌اس‌ال، وایرلس یا هر چیز دیگر فهرست شرکت‌ها را مشاهده و با آنها ارتباط مشروع برقرار کنید. باشد که مقبول افتد. شما را در جریان باقی اتصالمان قرار خواهیم داد کامینگ سون.
به خبری که هم‌اکنون به دستمان رسید توجه فرمایید:
سازمان ملل طی یک نظرسنجی فراگیر از ساکنان قاره‌های مختلف خواست تا مردم «نظرشان را درباره کمبود غذا در سایر کشورها» اعلام کنند. متأسفانه این پژوهش به خاطر آن‌که کسی به این نظرسنجی پاسخ نداد، شکست خورد. کمیته علت‌یاب (از همین کمیته‌هایی که وقت شکست تیم ملی فوتبال چند تاش تشکیل می‌شه)، پس از مدتی بررسی علت بی‌پاسخ بودن را چنین اعلام کرد (قاره اقیانوسیه‌ای‌ها هم در بین ۴ قاره دیگر قر و قاتی بوده‌اند):
آفریقایی‌ها نمی‌دانستند غذا چیست.
آسیایی‌ها نمی‌دانستند نظر چیست.
اروپایی‌ها نمی‌دانستند کمبود چیست.
آمریکایی‌ها نمی‌دانستند سایر کشورها کجاست.
بخش بعدی خبر در ساعت پوما (که تازه از یکی دو در کردم) به سمع و نظرتان خواهد رسید.

فیلترینگ در آستانه فصلی زرد

هفته‌نامه چلچراغ– «گوگل فیلتر شد». این جمله‌ای بود که شب یکشنبه جلوی اسم دوستان آنلاین مسنجریم دیده یا به صورت یک پی‌ام برای همه افراد لیست، فرستاده می‌شد. این موضوع به سرعت به یکی از موضوعات بحث شبانه در سایت‌های اشتراک لینک مثل «بالاترین» تبدیل و نقل محافل وبلاگی شد. در جشن تولد ده سالگی گوگل، مسدود کردن آن توسط مخابرات به کاربران ایرانی هدیه شد و اخبار آن بلافاصله در صدر اخبار فناوری خبرگزاری‌های جهان قرار گرفت.
دسترسی اینترنت در ایران از طریق وزارت فناوری اطلاعات و ارتباطات تأمین می‌شود و آی‌اس‌پی‌ها نمی‌توانند بدون واسطه و از طریق ماهواره اینترنت دریافت کنند و لازم است تا پهنای باند خود را از این وزارتخانه تأمین نمایند. سال‌ها است که داشتن دیش و امکان ارتباط ماهواره‌ای برای انتقال اطلاعات اینترنتی در ایران ممنوع شده و جز در موارد نادری با داشتن اجازه‌نامه رسمی امکان‌پذیر نیست. فیلترینگ توسط دولت به طور مستقیم و یا توسط دستورات رسمی توسط مراجع قضایی به واسطه‌ها در اینترنت اعمال می‌شود.
از آن‌جایی که مسدود شدن سایت‌ها بدون اطلاع قبلی صورت می‌گیرد، هنگامی که کاربران با پیام فیلتر شدن گوگل و سایت‌های زیرمجموعه‌اش مانند جی‌میل مواجه شدند، موج بزرگی از نگرانی‌ها اینترنت ایرانی را تحت تأثیر قرار داد. موتور جست‌وجوی گوگل و سرویس ایمیل آن جی‌میل، از محبوب‌ترین سایت‌های مورد استفاده کاربران ایرانی است. با آن که همواره این امکان وجود دارد که از موتورهای جست‌وجوی دیگری چون یاهو یا پارسیک استفاده کرد اما به علت آن‌که حساب کاربری و ایمیل ایرانیان زیادی روی جی‌میل قرار دارد و انسداد آن باعث شد تا دسترسی این افراد به صندوق پست الکترونیکی‌شان دچار اختلال شود.
تلفن بخش‌های پشتیبانی سرویس‌دهنده‌های اینترنت به سرعت اشغال شد اما جوابی دریافت نشد جز جمله «فیلتر از طرف مخابرات اعمال شده است و از طرف ما نیست». تلفن مسؤولان مربوط هم در این دقایق از دسترس خارج شد. گمانه‌زنی‌های اولیه امکان فیلترینگ اشتباهی را رد می‌کرد چرا که پیش از این انسداد سایت‌های دیگر زیرمجموعه گوگل نیز در کارنامه مخابرات موجود بود. سایت های اورکات و بلاگر که به طور رسمی فیلتر شده‌اند جزو سایت‌های گوگل محسوب می‌شوند.
صبح روز بعد حجت‌الاسلام حمید شهریاری، دبیر شورای اطلاع‌رسانی کشور در گفتگو با خبرگزاری مهر، فیلتر شدن گوگل را تأیید می‌کند. البته از هرگونه اظهار نظر در مورد دلایل فیلترینگ یا احتمال رفع آن خودداری کرده و توضیحات مشروح را به آینده موکول می‌کند.
علی‌اکبر کرم‌بیگی مدیر روابط عمومی شرکت مخابرات، در ساعات اولیه فیلتر شدن گوگل را تکذیب می‌کند در حالی که کاربران ایرانی در نقاط مختلف کشور نمی‌توانند این سایت را مشاهده کنند.
به تدریج مشخص می‌شود که سایت‌های دیگری از جمله بلاگفا فیلتر شده و «برابر قوانین جمهوری اسلامی و دستور مقامات قضایی دسترسی به این سایت مجاز ‌نمی‌باشد».

ادامه

پیک‌ایران و اشاعه دروغ‌های اینترنتی

امروز از رادیو فردا با من تماس گرفتند تا درباره خبری که پیک‌ایران منتشر کرده است، بپرسند. متن خبر را خودتان بخوانید: شرکت مخابرات ایران از هفدهم تیرماه به طور نامحسوس اقدام به جمع‌آوری اطلاعات کاربران اینترنتی کرده است!
نگاهی سطحی به خبر فوق امکان دارد خواننده را دچار وحشت کند. چیزی که سازمان مخابرات ایران با انجام سیاست‌های نادرست خود به آن دامن زده است. اما نکته‌ای که در این خبر و با نگاهی عمیق‌تر به چشم می‌آید چیزی نیست جز اشاعه یک دروغ اینترنتی بزرگ! البته به‌تر است بگویم اشاعه بزرگ یک دروغ اینترنتی!
این خبر و خبرهای مشابه آن در اصطلاح Hoaxes خوانده می‌شوند. پیام‌هایی خبری که توسط یک فرد تولید می‌شوند و به راحتی و به توسط مسنجر و ایمیل به صورت درختی اشاعه پیدا می‌کنند.
بگذارید این خبر را کالبدشکافی کنیم و به چند گاف مشخص‌تر آن نگاهی بیاندازیم. در متن این خبر آمده است:

از روز هفدهم تیر ماه شرکت مخابرات ایران اقدام به ارسال پست الکترونیکی با موضوع: «اینترنت مجانی» برای کاربران خدمات پست الکترونیکی یاهو در ایران کرده است. هنگامی که صاحب پست الکترونیکی اقدام به باز نمودن ایمیل با موضوع مزبور می‌کند به طور اتوماتیک و غیرقابل بازگشتی نرم‌افزاری با حجم ۳۲۰ کیلوبایت روی کامپیوتر شخص پیاده می‌شود .این نرم‌افزار کلیه مطالبی را که کاربر بر روی کامپیوتر خود -هنگام آنلاین بودن و استفاده از اینترنت- تایپ می‌کند را جمع‌آوری و هر بیست دقیقه یک بار اقدام به فرستادن آن برای این آدرس الکترونیکی می‌کند: [email protected]
شایان ذکر است که ایمیل فوق‌الذکر با موضوع «اینترنت مجانی» نیز از همین آدرس ارسال می‌شود.
لذا به همه‌ی کاربرن اکیدا توصیه می‌شود از باز کردن هر گونه پست الکترونیکی با موضوع اینترنت مجانی یا موضوعات مشابه از یک سو و اصولا باز کردن ایمیل‌های ناشناس با منشا و سرچشمه‌‌ی فارسی جدا خودداری کنند.

ادامه

نمایشگر شماره تلفن

خلاصه سرویس ویژه نمایشگر خطوط موبایل برای همه راه‌اندازی شد. موبایل من از امروز شماره همه کسانی رو که از موبایلشون به من زنگ می‌زنن نشون می‌ده. چیز خیلی خوبیه اما من فکر می‌کنم کاسه‌ای زیر نیم‌کاسه هست. و گر نه توی این مملکت هیچ کاری مفتی نمی‌شه.