السلام عليكم
وصلني بريد بالأمس
بعنوان
" الله أكبر : أمريكي يجيز لأهل غزة إفطار رمضان "
العنوان ملفت للانتباه ومثير والسبب
حتى يفتح الرسالة أكبر قدر من الناس
ويسقط أكبر قدر من الضحايا .
لنفس السبب اخترت أن أضع عنوان الموضوع نفس الرسالة
حتى يقرأ الموضوع أكبر قدر ممكن من الأعضاء
ويأخذون الحيطة .
تابع /
قمت بتحميل الملف المضغوط
وفتحه
ستلاحظون ظهور أسماء الملفات بامتداداتها
الملفات :
1- MyPic.jepg
نوع الملف type of file : JPEG Image
يعني صورة
بأيقونة صورة ملف غير ضار 100%
ولم أقل نظيف
سيتضح لكم الأمر في نهاية الموضوع
2- فتوى أمريكية.doc
نوع الملف type of file
ملف Microsoft word
بأيقونة وورد أيضاً 100% غير ضار
3- فيديو.Lnk
الاختصار ملف لا يتعدى حجمه 1 كيلو
يستخدم ليسهل الوصول لملف آخر
بحيث يجب أن يشير الهدف أو Target في خصائص الاختصار
إلى الملف الآخر المراد تشغيله
في حال كان الهدف للاختصار ملف غير موجود فلن يعمل .
target
c:\windows\system32\cmd.exe /c Mypic.jpeg
هذا السطر أكد لي أن الملف عبارة عن ملف تجسس
قبل أن أكمل الدرس
هذه الخدعة متقدمة بعض الشيء
ومرسل الرسالة ماكر جداً
لأن ملف التجسس كما سنرى في نهاية الموضوع
هو عبارة عن صورة حقيقية MyPic.jpeg
الخدعة التقليدية
أن يكون الملف ملف تنفيذي
ولكن يحمل أيقونة صورة
هذه عبارة عن ملفات تجسس وفايروسات
لاحظ أنها ملفات تطبيقية applications
لاحظ أيضاً أنها تحمل الامتداد التنفيذي exe
لكن الأيقونة تم تغييرها للتمويه فقط .
كيف أستطيع أن أكشف عن هذه الخدعة /
افتح لوحة التحكم
Control Panel
ثم
Folder Option
ثم تبويب View
أزل علامة الاختيار عن
Hide Extension for known file types
أسماء الملفات في جهازك قبل تطبيق الخطوة الأخيرة
ستكون على هذه الشاكلة
بعد إظهار امتدادات أنواع الملفات المعروفة
أصحبت الملفات بهذا الشكل
في حال وجدت ملف " غير برنامج ، صورة مثلاً أو كتاب الكتروني أو أغنية " يحمل أحد الامتدادات التنفيذية
فهو حتماً ملف مشبوه " فايروس أو ملف تجسس "
بعض امتدادات الملفات التنفيذية المشهورة
CMD , COM , BAT , SCR , BIF
الآن من الصورة الأخيرة
تأكدنا ان ملف MyPic.jpeg صورة حقيقية
قمت بتغيير حالة عرض الملفات إلى أيقونات كبيرة
كما في الصورة التالية
لم تظهر صورة مصغرة للملف كما يحدث دائماً وكما هو متوقع .
هذه دلالة أخرى على أن الملف مشبوه .
صحيح أن الملف صورة ولكنها لن تعمل ولم ولن يظهر لها مصغر
ولأنها في بنيتها عبارة عن ملف تنفيذي
لنفترض أنني مستخدم عادي للكمبيوتر
ولا علم لي بهذه الأمور
قمت باستقبال ملف عبر الماسنجر
أو مرفق برسالة بريد الكتروني أو قمت بتحميله من أحد المواقع
وأريد دليلاً قاطعاً وسريعاً على حالة الملف
هذا الموقع يفي بالغلط
http://www.virustotal.comفهو يقدم خدمة مجانية
يقوم بعرض الملف المشكوك بأمره على أكثر من أربعين برنامجاً مضاد للفايروسات
تقوم بعمل استعراض وتحميل الملف إلى الموقع
ليقوم هو بدوره بالكشف عن الملف وطباعة تقرير حول حالة الملف
هذا تماماً ما صنعت .
رفعت الملف MyPic.jpeg إلى الموقع
وكانت النتيجة
عشرون برنامجاً من أصل اثني وأربعين برنامجاً مضاداً للفايروسات
اكتشف انه ملف MyPic.jpeg ملف تجسس
يتضح من نتيجة الفحص أن شكوكي كانت في محلها
ولكن أريد أن أنبه إن كانت نتيجة الكشف 0/42 فهذا لا يجزم أن الملف سليم .
شرح الخدعة :
إن قمت بتشغيل ملف MyPic فهذا لن يضر بجهازك غير أن الصورة لن تعمل .
إن قمت بتشغيل الاختصار ولكن بشرط أن تكون قد حذفت الصورة MyPic فهذا لن يضر بجهازك أيضاً
أما لو أبقيت على الصورة وقمت بتشغيل الاختصار
ما الذي سيحدث
سوف يقوم الاختصار بتشغيل الصورة كملف تنفيذي عن طريق الcommand line
c:\windows\system32\cmd.exe /c Mypic.jpeg
موضوع: الله أكبر : أمريكي يجيز لأهل غزة إفطار رمضان 
الجمعة أغسطس 20, 2010 6:26 pm
