بالو ألتو نتوركس: شمعون 3 يتخفى خلف آية من القرآن الكريم
كشفت بالو ألتو نتوركس Palo Alto Networks، الشركة الرائدة في تطوير الجيل التالي من الحلول الأمنية، اليوم عن تفاصيل جديدة عن هجمات الجيل الجديد من البرمجية الخبيثة W32.Disttrack.B المسماة “شمعون 3” Shamoon، والتي استهدفت إحدى شركات الغاز والنفط الشهر الماضي، وحددت الشركة أثناء بحثها المستمر فيروس آخر يحذف الملفات يحتمل أنه على صلة بالواقعة التي تضمنت فيروس حصان طروادة سيء الصيت والمعروف باسم “ديستراك” Disttrack، والذي يتخفى خلف آية من القرآن الكريم.
وقد عمدت الجهات المطورة لهذا الفيروس الذي يحذف الملفات إلى استخدام التعليمات البرمجية لأداة “سوبر ديليت” SuperDelete ومن ثم تعديلها لإنتاج إصدار جديد معدل، وكانت النتيجة فيروس حصان طروادة لمسح الملفات مكتوب بلغة “سي شارب” البرمجية.
ولا يحتوي هذا الفيروس على وظائف إضافية أخرى سوى قدرته على حذف ملفات على النظام، ولهذا، وبخلاف نماذج سابقة من فيروس “ديستراك”، فإن هذا الفيروس لا يستطيع الانتشار إلى أنظمة أخرى على الشبكة، كما إنه يختلف عن فيروس “ديستراك” في عدم اعتماده على مشغلات نواة النظام لحذف الملفات.
ويقوم هذا الفيروس المعدل من أداة “سوبر ديليت” بكتابة بيانات عشوائية في ملفات المستخدم قبل أن يبادر إلى حذفها، مما يجعل استعادة الملفات المحذوفة أمرًا صعبًا من دون نسخ احتياطي لها، أما الجانب الأكثر إثارة للاهتمام في هذا الفيروس فيكمن في تعمد مطوره إضافة رسالة دينية من آية في القرآن الكريم.
وبالتحليل المستمر لهذا الفيروس الذي يستخدم التعليمات البرمجية لأداة “سوبر ديليت” المذكورة، اكتشفت شركة بالو ألتو نتوركس وجود ملفين تنفيذيين يعتقد أن المهاجمين قد استخدموهما لتنفيذ هذا الفيروس على عدة أنظمة، وذلك بنشره في أجهزة أخرى حاضنة انطلاقًا من نظام متصل بشبكة مخترقة.
وأطلق على هذين الملفين التنفيذيين الداعمين للفيروس باسمي “حصان طروادة الناقل” و”حصان طروادة الناشر”، ويرجح أنه يجري تحميلهما على أحد الأنظمة المخترقة على الشبكة بهدف تحويله إلى نقطة مركزية لتوزيع الفيروس الماسح على أنظمة بعيدة.
وبالرغم من أن هجمات شمعون الأخيرة كانت قد شهدت استخدام أداة “ديستراك” سيئة السمعة والمستخدمة في هجمات شمعون السابقة، إلا أن المهاجمين قد استخدموا أيضًا فيروس حصان طروادة ثان لتدمير بيانات على الأنظمة في الشبكات المستهدفة.
كما يتضح استخدام المهاجمين لأسلوب مماثل في توزيع هذا الفيروس الماسح انطلاقًا من موقع مركزي على الشبكة المخترقة، وذلك باستخدام قائمة من أسماء أجهزة مضيفة لغرض نسخ الفيروس إلى أنظمة أخرى على الشبكة.
ويستند الفيروس الماسح المرتبط بهجمات شمعون 3 على التعليمات البرمجية ذاتها لأداة “سوبر ديليت” مفتوحة المصدر، ويمتلك هذا الفيروس القدرة فقط على الكتابة فوق محتوى الملفات وحذفها هي والمجلدات، كما يعتمد لأجل التنفيذ على حصاني طروادة، أحدهما ناقل والآخر ناشر.
وتعد الرسالة الدينية ضمن الفيروس مثيرة للاهتمام لأنها تعمل كرسالة قد تشير إلى دوافع المهاجمين، وربطت الشركة احتمال استخدام هذا الفيروس الماسح في واقعة شمعون 3، والتي دخل فيها فيروس “ديستراك” الذي استغل في الماضي لنشر صور سياسية في الملفات المستهدفة، ضمن هجمات شمعون وشمعون 2، ويتمتع عملاء بالو ألتو نتوركس بحماية من هذا الفيروس المعدل والمستمد من أداة “سوبر ديليت”.
