البرنامج إسمه "Rombertik" وهو من البرامج الخبيثة التي لها خصائص مدهشة وجد خطيرة. وهي تهدف إلى سرقة المعلومات الشخصية والتجسس، وفي حالة اكتشافه هنا تكمن الخطورة : في حالة اكتشافه فإنه يسبب أكبر ضرر ممكن، ويجعل الجهاز يدور في دوامة لا نهاية لها أثناء الإقلاع وعدة أشياء أخرى سنتعرف عليها في هذا المقال.
البرنامج "Rombertik" لص يقوم بحملات صيد تقليدية
البرمجيات الخبيثة ظهرت مند ما يقارب 20 سنة، وكان هدف العديد منها أساسا هو تسميم حياة المستخدمين من خلال تدمير البيانات الخاصة بهم. مع انتشار شبكة الإنترنت، اكتشف القراصنة أن هناك أشياء أفضل للقيام : كسرقة المعلومات ونقلها واختراق الأنظمة المعلوماتية. وهذه كانت بداية لبرمجة المزيد من البرمجيات الخبيثة التي يمكن لها أن تبقى مخفية على الجهاز ، ويعد ذلك يمكن أن تنجز مهمتها في التجسس والسرقة."Rombertik" لص معلوماتي بامتياز. فهو يحاول سرقة كل شيء تقريبا الذي يمر من خلاله، على أمل الحصول على القليل من البيانات، بما في ذلك أسماء المستخدمين وكلمات المرور.
البرنامج قادر على مراوغة برامج الحماية
يصيب هذا البرنامج الأجهزة في غالب الأحيان عن طريق البريد الإلكتروني. حيت يظهر هذا الأخير على أنه عبارة عن نص الشيء الذي يمكن تضليل أي مستخدم لذلك وجب الحذر ثم الحذر من الرسائل المجهولة المصدر، ويوهم المتلقي أنه من شركة معروفة كالويندوز مثلا ويطالب بفتح وثيقة مقدمة على أنها وثيقة PDF مع نموذج مصغر يدل على الإدراج، ولكن في الحقيقة هي عبارة عن لغم محضر من طرف المسمى "Rombertik".
من المرحلة الأولى الأولى، يبدأ بتطبيق سلسلة طويلة من الخطوات، في السلسلة الأولى منها يتحقق إن كان يستطيع العمل دون أن يكتشف من طرف برامج الحماية إن تبين له العكس يبدأ بتنفيد العديد من الآليات الفريدة من أجل الفرار.
برامج الحماية ما زالت تعمل دون الشعور به، ولا تزال في مكانها لأسباب تتعلق بالسلامة، وقد تكون مصحوبة بالأدوات اللازمة لتحليل سلوكات البرامج. "Rombertik" بدلا من البقاء متخفي وانتظار ساعته، سوف يكتب 960،000،000 مرة بايت واحد في الذاكرة لتمرير الوقت، ولن تعتبرها بعض برامج الحماية مشبوهة، الشيء الذي يتقل كاهل أدوات التحليل. وفقا لشركة سيسكو، إنشاء سجل من هذا النشاط من شأنها أن ينتج ملف بحجم يفوق بكثير"100 GB". وفي حالة إكتشافه يتوقف"Rombertik" عن العمل . وفي حالة الهجوم ، يكمل مع آليات أخرى للهروب من منطقة التخزين.
97٪ من شفرة Rombertik لا قيمة لها على الاطلاق
عندما تهدأ الأجواء، Rombertik يقوم بإطلاق "script" للتأكد من تشغيله عند بدء التشغيل. ثم ينسخ ويختفي في المجلد "AppData". والنسخة هي التي من شأنها أن تفعل العمل الأهم، وتكشف عن خصائص غريبة. حجمه حوالي 1264 KB، في حين حجمه المضغوط حوالي 28 KB. في الواقع، 97٪ من شفرة Rombertik لا قيمة لها على الاطلاق. وهو يحتوي على 75 صورة لا لزوم لها وحوالي 8000 خاصية لا تستعمل أبدا. كل هذه الوظائف تجعل مهمة الكشف عنه من طرف برامج الحماية جد صعبة.عندما يكتشف، سيقوم بتدمير كل الحاسوب والبيانات
في الأيام الأولى من عملها، فإن البرنامج الخبيث يبدأ بإطلاق سلسلة أخيرة من الأوامر التحققية. فيبدأ بالتحقق من ما إذا كان التحليل يكون يدويا أو تلقائيا ،ويبدأ بالأعمال العدائية في حالة إكتشافه، يحاول أولا إعادة كتابة MBR يعني (Master Boot Record) على القرص الثابت الأول المشار إليه بواسطة الجهاز ( PhysicalDisk0 ) . إذا كان لديه إذن ،العملية تكون ناجحة و الجهاز لن يستطيع العمل.. وإذا لم يكن لديه حقوق كافية يخرج الأسلحة الثقيلة . سيبدأ بالبحث عن الملفات الموجودة في ( Documents et Settings\Administrator) لتشفير الملفات واحدا تلو الآخر مع مفتاح RC4 بشكل عشوائي لكل منها. عندما تتم إعادة كتابة MBR وتنتهي الملفات من التشفير، يتم إعادة تشغيل الكمبيوتر.
حتى لو تم تصليح المشكل وإعادة كتابةMBR ستجد أن البرنامج قام بمجموعة من التعديلا والجهاز سيقوم بلإعادة التشغيل في كل مرة و تظل إمكانية استرجاع المعلومات ممكنة من الناحية الفنية عن طريق إستخراج القرص الصلب في محاولة لاستعادة البيانات، أو إعادة تثبيت نظام التشغيل.
أتمنى أن ينال الموضوع إعجابك، قد يستفد غيركم من المقال في حالة نشره
والسلام عليكم
هل أعجبك الموضوع ؟