قراءة برمجية للجيل الجديد لملفات Autorun ما بعد دودة Downadup

الناقل : elmasry | الكاتب الأصلى : Devd | المصدر : www.arabteam2000-forum.com

السلام عليكم ورحمة الله
رمضان كريم

قبل ان أدخل أخي القارئ في صلب المقالة لابد من التمييز وتسليط الضوء على نوعين من ملفات
الــ Autorun :

1- النوع الأول استطيع القول بانه كلاسيكي بسيط تستطيع التعرف عليه وعلى أوامره
.. بقراءة اقتباس اخونا مشرف القسم لمقالة أجنبية على مدونته الخاصة:
إضغط هنا لقراءة المقالة
صورة لملف أوتران كلاسيكي:
ارفق صورة : monthly_08_2009/post-76890-1251733933.jpg

2- النوع الثاني كان الفضل بظهوره لكاتبي دودة Kido (ملف ثنائي وليس ملف نصي تقليدي )

صورة لملف دودة Kido

Resized to 71% (was 924 x 550) - Click image to enlargeارفق صورة : monthly_08_2009/post-76890-1251733978.jpg


سنناقش اليوم النوع الثاني من هذه الملفات عبر الاجابة عن الاسئلة التالية:

1-الغرض من كتابة هذه الملفات بهذه الطريقة ؟
2-التعلم كيفية كتابة هذه الملفات ؟
3- الخاتمة: طرح فكرة جديدة كنت قد أضفتها الى اخر Worm فيما يخص هذا الموضوع؟


السؤال الأول: لماذا تم كتابة هذه الملفات بهذه الطريقة؟
في البدايةوأثناء دراستي للملف الـ AutoRun الخاص بدودة Kido عند ظهوره,لاحظت هذا الحجم الكبير والمتغير للملف (الحجم من 50 الى 95 كيلوبايت)
مقارنة بملف AutoRun كلاسيكي عادي(بضعة بايتات) والهدف من هذاهو كما تبرر الشركات الامنية
وهذا اقتباس لاحدها:
إقتباس
The Kido worm inflates the size of its autorun.inf in an attempt to avoid detection by antivirus signature scanners. Binary characters are used to inflate the file size. These binary characters are ignored by the Windows operating system


هو تجنب ماسحات تواقيع الفيروسات من كشف واقتناص هذا الملف بسهولة...

السؤال الثاني: كيفية كتابة هذه الملفات؟
بعد رؤيتي الاولى لملف اوتوران دودة Downadup .. قررت بالمباشرة سريعا" بوضع خوارزمية جيدة لكتابته(هي الانسب من وجهة نظري) تقوم على شيئين:
1- توليد ملفات بحجوم متغيرة عن طريق الكتابة الثنائية للملف
2- حقن الاوامر المراد تنفيذها ثنائيا ضمن ما يسمى (Binary garbage) الكلام التافه الذي سيتجاهله ويندوز عند قراءة تعليمات ملف الاوتران

المخطط النهجي أدناه يبين ألية عمل الخوارزمية:
ارفق صورة : monthly_08_2009/post-76890-1251734100.jpg

مثال: لنفترض بأنك تريد تنفيذ الاوامر التالية في ملف اوتران من الصنف الثاني:
[AuTORuN]
oPen=WormName.exe e
icOn=%SystemRoot%\sYsteM32\sHElL32.dlL,4
ActIon=Open folder to view files
ShelL\Open\CommANd=WormName.exe e
......
......


قمت بكتابة هذا الكود لمطوري VB6 و VB.NET 2008 للتحميل :
ملف مرفق  Kido_Worm_Autorun_File_Generator_VB6_By_Devd.rar (2.92كيلو )
عدد مرات التحميل : 133
ملف مرفق  Kido_Worm_Autorun_File_Generator_VB.NET_2008_By_Devd_.rar (67.99كيلو )
عدد مرات التحميل : 202

صورة للبرنامج :
ارفق صورة : monthly_08_2009/post-76890-1251734229.jpg

صورة لملف الاوتران الناتج ذو الحجم المتغير من 40 الى 75 كيلو (يمكن زيادة الحجم بزيادة متحولات الخوارزمية)
لاحظ توضع أمر من أوامر الملف (ضمن المستطيل الاحمر)
Resized to 93% (was 699 x 719) - Click image to enlargeارفق صورة : monthly_08_2009/post-76890-1251734070.jpg


السؤال الثالث : الفكرة الجديدة التي كتبتها تنطلق من التالي:
أولا":
تعلم عزيزي القارئ ان القيم الافتراضية لنظام التشغيل ويندوز بما يخص Autoplay
ارفق صورة : monthly_08_2009/post-76890-1251734122.jpgارفق صورة : monthly_08_2009/post-76890-1251734198.jpg

نستنتج من الصور أعلاه أن معظم أنظمة التشغيل سوف تظهر نافذة الـ ActIon لاختيار ما تريد تشغيله عند ادخال ميموري فلاش مثلا"

ثانيا":
الان لو اردت استثمار هذه القيم الافتراضية لخداع المستخدم بكتابة الامر التالي :
ActIon=Open folder to view files


السؤال ماذا لو كانت واجهة نظام التشغيل هي العربية مثلا" ماذا سيعرض ويندوز؟
الجواب على ذلك في الصورة أدناه:
ارفق صورة : monthly_08_2009/post-76890-1251734149.jpg

(لاحظ هذا التعارض في اللغات - ايا" كان غباء المستخدم سوف يشك بان هناك Malware)

اذا" ماهي العبارة الصحيحة التي سوف نحقنها عند كتابة ملف الاوتران؟ بمعنى ما هي اللغة التي سنكتب بها العبارة داخل الملف؟
ان 90% من الحالات تفترض بأن الشخص حامل الـ Malware في الفلاش ميموري والشخص المهيأ لاستقبالها في حاسبه
لابد ان يكونا في دولة واحدة (اي لهم نفس اللغة)(اذ لا يعقل لشخص عربي ان يضع الميموري في حاسب شخص يتكلم الروسية مثلا", من اين يأتي بهذاالصديق؟!)
اذا" لتفادي هذه المشكلة لابد من قراءة هذه العبارة اولا" من الجهاز المصاب قبل حقنها في ملف الـ Autorun ..ان قراءةالقيمةالتي تحمل الـ ID رقم 17154
من String Resource في مكتبة الربط Shell32.dll تفي بالغرض أو يمكنك قرائتها مباشرة من مفتاح الريجستري التالي :
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

انظر الصورة :
Resized to 96% (was 680 x 32) - Click image to enlargeارفق صورة : monthly_08_2009/post-76890-1251734214.jpg


نعم ... ان فعل ذلك بسيط جدا"و يعزز ويزيد احتمال الاصابة أليس كذلك؟ ..(صحح لي ان أخطأت... فــ هندستي ليست في الحاسوب!!!! :blush: )
سلام