أحصنة طروادة أو الـ Trojans !.

[عبد الله البحراني]

أحصنة طروادة أو الـ Trojans !.

اهلا وسهلا بمتابعينا الكرام, سوف ننتطرق من خلال موضوعنا هذا الاسبوع الى الطرق التي يستخدمها مبرمجون الملفات الضارة على اختلاف انواعها للوصول الى اجهزتكم وبالتالي القيام بالعمل التخريبي او الضار. والملفات والبرامج الضارة هي الفيروسات viruses و حشرات الحاسب الآلي Worms و ملفات التطفل والتجسس spy ware وملفات وبرامج الاختراق Trojan او كما تسمى بأحصنة طروادة. ودعونا نبدأ من الاخيرة. حيث نستطيع ان نستنتج من سبب تسمية هذا النوع من البرامج الضارة بحصان طروادة وقصته المشهورة, طريقة عمل الملف الضار وطريقة اصابة الاجهزة به. حيث عندما عجز الاغريق من اختراق حصن طروادة , قاموا بصنع حصان خشبي كبيرعلى انه هديه من الآله, ولم يتردد الطرواديون من سحب الحصان الى داخل مدينتهم المسورة والتي عجز الاغريق عن اقتحامها والدخول اليها بعد حصار طويل. وطبعا كان بداخل الحصان جنود مسلحون استطاعوا اثناء الليل من النزول من الحصان وفتح ابواب المدينة ليتمكن الجيش من الدخول اليها وحرقها. وهذا بالضبط ما يحدث بالاجهزة المصابة بهذا النوع من الملفات او البرامج الضارة. حيث يقوم المستخدم بنفسه بإدخاله الى جهازه وتنصيبه به وذلك من خلال طرق مغرية متعددة كالبرامج الموفرة لارقام التراخيص key gen والبرامج المقرصنة على اختلاف انواعها والمواقع الغير موثوق بمعروضاتها وخدماتها ومن خلال تبادل الملفات مع اناس مجهولين بغرف المحادثة ومن خلال مرفقات البريد الالكتروني المجهول المصدر.

وطبعا حصان طروادة هنا او الـ Trojan سوف يقوم بفتح باب او منفذ للمخترق المختص به للدخول إليه ليعبث بالجهاز او سرقة محتواياته من ملفات مهمة او عناوين البريد الإلكتروني. لذلك عزيزي المتابع عليك بالحذر من مواقع الانترنت المشبوهة والوصلات الموجودة بها ومن تحميل البرامج المقرصنة واستخدام برامج فك التراخيص. اما بالنسبة لمرفقات البريد الالكتروني attachment فعليك بمعرفة امتداداتها. فإذا كانت exe او dll فاحذر من فتحها حتى لو كانت مرسلة من قبل شخص تعرفه, فقد يكون هذا الشخص قد سُرق بريده وارسال ملفات وبرامج ضارة من خلاله. وهنا وجب التنويه بان هذه البرامج لا تتفعل وتنشط بشكل مباشر وانما قد تنشط بعد فترة من الزمن غير محددة , وهذا الجواب الذي نرد عليه على الاشخاص الذين يقولون لقد جربنا ولم يحدث اي شىء لاجهزتنا.

إن طبيعة عمل معظم برامج الحماية معروفة, ويوجد بها ميزة مراقبة سلوكيات البرامج بالجهاز. حيث انها من المفترض ان تقوم باعطاء تنويه عن اي برنامج يقوم بتشغيل نفسه بشكل تلقائي وتحذير المستخدم منه, وهذا ما تتميز به انظمة التشغيل الحديثة Vista و 7 من ناحية وجود خاصية مراقبة سلوكيات عمل البرامج واصدار تنويه وتحذير بها في حالة عملها بشكل تلقائي. ومن الاسئلة الشائعة عن هذا الموضوع هو كيف لي ان اعرف بان الجهاز لدي مخترق او تم اختراقه ؟. والجواب انه لاتوجد طريقة معينة بذاتها يمكن من خلالها معرفة ذلك سوى وجود برامج الحماية المطلوبة والتحديثات اللازمة بها. والاهم من ذلك كله انه من الصعب جدا اختراق جهاز مستخدم حذر و نظيف , لا يحتوي جهازه على اية برامج مقرصنة ويبتعد عن المواقع المشبوهة كمواقع تحميل البرامج الغير مرخصة والاباحية.

لذلك عزيزي المتابع وكما يقول المثل " الباب إلي يجيك منه الريح سده واستريح " ونحن نقول " الموقع إلي يجيك منه تروجان تركه واستريح ".

[الزكواني]

مرحبا بك, أستاذنا المبدع " عبدالله البحراني "
بالفعل موضوع ممتاز جدا, " أحصنة طروادة " فلقد ذكرتني بهذه القصة التي قرئتها من فترة طويلة, عندها صادفت أحد من الأصدقاء في نقاش حول هذا الموضوع, لذا فلم أكن أتذكر القصة الحقيقة لأحصنة طروادة, وهنا بالفعل عملت تنشيط لذاكرتي ومعلوماتي, بالفعل قصة شيقة جدا, ومنها الحكمة والفكرة الذكية من الطرف الذي كان يفكر بخطة منفردة بنوعها للإقتحام الحصن, وفي النهاية بالفعل نجحوا في ذلك,
وهنا أود أن أشارك بما عندي من معلومات إضافية حول هذا الموضوع الذي أكيد الكثير راح يستفيد منه ويلم بمعلومات قيمة من خلال منتدى شبكة المعلومات العمانية, ...

كيفية الإصابة:
غالباً ما تأتي أحصنة طروادة مختبئة ضمن برامج غير مشروعة وغيرها من الملفات والبرامج التي يمكن تحميلها من الإنترنت. وقد تظهر أيضاً في البريد الإلكتروني أو الرسائل الفورية متخفية كمرفقات مثل الصور المضحكة وبطاقات المعايدة والملفات الصوتية وملفات الفيديو. وإذا نقرت فوق المرفقات لفتحها، فقد يتم تحميل حصان طروادة أيضاً، خفيةً. كما يمكن في بعض الأحيان أن يصل إلى الكمبيوتر من دون القيام بأي إجراء من خلال الإستفادة من نقاط ضعف أو عدم حصانة في البرنامج أو الإنترنت.

الأنواع الرئيسية لأحصنة طروادة حسب تأثيرها:

تصنف اعتماداً على كيفية اختراقها وضررها بالنظام إلى أنواع عديدة منها:

أحصنة طروادة للوصول عن بعد (Remote Access Trojans (RAT:

وهذا النوع هو الأكثر شيوعاً واستخداماً. فهي تعطي المهاجم القوة على القيام بأعمال على جهاز الضحية أكثر من الضحية نفسه عندما يقف أمام جهازه.

تكون أغلب أحصنة طروادة من هذا النوع عبارة عن مزيج من أنواع أخرى. والفكرة منها أنها تقوم بإعطاء المهاجم صلاحيات كاملة على جهاز الضحية، وبالتالي الوصول إلى ملفاته، محادثاته الخاصة، وبيانات الحساب...وماإلى ذلك.

أحصنة طروادة لتدمير البيانات Data Destruction:
إن الوظيفة الوحيدة لهذا النوع هي تخريب وحذف الملفات، مما يجعله بسيط وسهل الاستخدام. وبإمكانه حذف جميع ملفات النظام في الجهاز تلقائياً (ملفات الـ dll, .ini, .exe. ومن الممكن أنواع أخرى من ملفات النظام).
يفعل حصان طروادة من قبل المهاجم وأحياناً عبر قنبلة منطقية تبدأ في ساعة معينة ويوم معين.


أحصنة طروادة لإرسال كلمة السر Password Sending Trojans:
الغاية من هذا النوع تمزيق جميع كلمات السر المخبأة والبحث عن الكلمات المدخلة وإرسالها إلى عنوان بريد الكتروني معين، ودون أن يلاحظ المستخدم أي شيء.
كلمات السر لـ ICQ, IRC, FTP, HTTP أو أي تطبيق آخر يتطلب من المستخدم إدخال اسم المستخدم وكلمة المرور ترسل إلى بريد المهاجم الالكتروني، والذي يكون في معظم الحالات موجوداً على إحدى مزودات خدمة البريد الالكتروني المجانية. والهدف من هذا النوع جمع معلومات أكثر عن الضحية ككلمات السر ومحادثاته الخاصة وسجلاته وذلك يعود إلى حاجة المهاجم.

أحصنة طروادة لتسجيل ضربات لوحة المفاتيح Keyloggers:
وهذا النوع بسيط جداً. والعمل الوحيد لهم هو تسجيل ضربات لوحة مفاتيح الضحية وتترك بعدها المهاجم يبحث عن كلمات السر والمعلومات الحساسة في ملف التسجيل. ومعظمها تكون قادرة على التسجيل في حالتي الاتصال وعدم الاتصال. ويمكن إجبارهم على إرسال ملف التسجيل في يوم معين.

أحصنة طروادة لهجمات حجب الخدمة (Denial-of-service attack (DoS:
يستخدم هذا النوع إذا كان عند المهاجم عدد كبير من الضحايا. والفكرة الرئيسية منه أنه إذا كان هناك 200 مستخدم ADSL مصاب وبدأ مهاجمة الضحية بشكل آني، وهذا سيولّد مرور أكثر بكثير من حزمة نقل الضحية ومما سيؤدي إلى منع عبوره إلى شبكة الانترنت.

الاستخدام الآخر لهذا النوع هو القنبلة البريدية the mail-bomb Trojan وهدفها الرئيسي إصابة أكبر قدر ممكن من الأجهزة ومهاجمة عناوين بريد الكتروني معينة بشكل آني بمواضيع ومحتويات عشوائية بحيث لا يمكن ترشيحها.

FTP Trojans:
وهو أبسط الأنواع وقديم نوعاً ما. والعمل الوحيد له فتح منفذ 21 (منفذ نقل برتوكول FTP) ويمكّن الجميع من الوصول إلى جهازك أو المهاجم فقط.

أحصنة طروادة لتعطيل برامج الأمن Security software disabler:
يقوم هذا النوع بتعطيل البرامج المضادة للفيروسات مثل ZoneAlarm, Norton Anti-Virus وأنواع أخرى من البرامج المضادة للفيروسات الشائعة وجدران الحماية التي تحمي الجهاز. عندما تعطل، سيكون للمهاجم كل السماحية للوصول إلى الجهاز لأداء أعمال غير شرعية واستخدامه لمهاجمة أجهزة أخرى. على الرغم من أنه يمكن ملاحظة توقف هذه البرامج، سيأخذ إزالة حصان طروادة وتنصيب برنامج حماية جديد وتثبيته وقتاً طويلاً قبل استعادة أمن الجهاز.


ما الذي يمكن أن يقوم به حصان طروادة:
من بعض النتائج السيئة التي يمكن أن تقوم به أحصنة طروادة:

* التعريض للخدع: تستطيع بعض البرامج أن تخدع الكمبيوتر كي يعتقد أن موقعاً مخادعاً على الويب هو فعلاً موقع تثق به (مثل موقع للتعاملات المصرفية عبر الإنترنت).

ويمكن أن تستخدم كلمات المرور وغيرها من المعلومات التي تدخل على الموقع المخادع لسرقة الأموال والهوية.
* إيجاد الملفات وعرضها، أو نسخها أو تعديلها أو حذفها. يمكن أن تكون برامج مبرمجة للقيام بذلك أو لأداء هذه المهام تلقائياً في كل مرة تعيد فيها تشغيل الكمبيوتر.

* تسجيل الكتابة وإرسال هذه المعلومات لكمبيوتر آخر. يعالج المجرمون هذه المعلومات من خلال برامج خاصة تساعدهم على إيجاد أسماء المستخدمين وكلمات المرور التي كتبت على الكمبيوتر.

* التقاط الفيديو والصوت من أجهزة تم توصيلها بالكمبيوتر وحفظ الوسائط كملفات وإرسالها إلى كمبيوتر المجرم.

* تشغيل أو إنهاء برنامج أو إجراء ما أو اتصال في الكمبيوتر .

* إنشاء إطارات منبثقة تظهر على الشاشة للإزعاج أو للخداع والاتصال بمواقع خبيثة.

* الهجوم على أجهزة كمبيوتر أخرى. تستخدم بعض أحصنة طروادة لتشكيل "جيوش زومبي"، وهي مجموعات كبيرة من أجهزة الكمبيوتر يتحكم بها المجرمون لأداء مهام مثل إغراق الملقمات بالرسائل أو نشر الفيروسات أو برامج التجسس.

* نشر برامج خبيثة أخرى كالفيروسات (وهذا النوع من أحصنة طروادة يدعى 'dropper' أو 'vector').

كيفية عمل حصان طروادة:

تأتي أحصنة طروادة في جزئين. جزء عميل (Client) وجزء مخدم (Server). عندما يُشغل الضحية (بدون معرفة سابقة) المخدم على جهازه، يقوم المهاجم باستخدام الجزء العميل للاتصال بالمخدم وبدء استخدام حصان طروادة. برتوكول TCP/IP هو النوع المستخدم عادة للاتصالات، لكن بعض وظائف حصان طروادة تستخدم بروتوكول UDP أيضاً. عندما يشتغل المخدم على حاسوب الضحية، يحاول الاختباء في مكان ما في الحاسب ويبدأ الإصغاء لبعض المنافذ من أجل الاتصالات القادمة من المهاجم ويقوم بتعديل الـ registry.
من الضروري بالنسبة للمهاجم معرفة عنوان الـIP للضحية حتى يتصل بجهازه. تملك العديد من أحصنة طروادة خاصية مراسلة IP الضحية ومراسلة المهاجم. وهذا يحدث عندما يكون IP الضحية ديناميكي؛ أي في كل مرة اتصال بالإنترنت يتغير هذا الـ IP. أما مستخدمي خطوط ADSL لديهم IP ساكن ولذلك يكون هذا الـ IP معروف دائماً للمهاجم ويجعل الاتصال بجهازه أسهل بكثير. تستخدم معظم أحصنة طروادة طرق البدء التلقائي Auto-Starting methods ولذلك حتى عند إيقاف تشغيل الحاسب يبدؤون مجدداً ويسمحون للمهاجم بالوصول إلى الجهاز. الطرق الجديدة والخدع الأخرى مكشوفة دائماً. تبدأ التشكيلة من انضمام أحصنة طروادة إلى بعض الملفات التنفيذية المستخدمة بكثرة -مثل explorer.exe- وتذهب إلى الطرق المعروفة كملفات تعديل النظام أو Windows Registry. تقع ملفات النظام في دليل Windows. وهنا بعض التفسيرات القصيرة عن سبب انتهاكها من قبل المهاجمين:

* Autostart Folder: يقع هذا المجلد في المسار: "C:\Windows\Start Menu\Programs\startup" وكما يوحي اسمه يقوم ببدء تشغيل كل شيء موجود داخله تلقائياً.

* Win.ini: ملف نظام التشغيل يستخدم load=Trojan.exe و run=Trojan.exe لتنفيذ حصان طروادة.

* System.ini: استخدام Shell=Explorer.exe trojan.exe يؤدي إلى تنفيذ كل ملف بعد Explorer.exe.

* Wininit.ini: تستخدمه برامج الإعداد (Setup-Programs) بكثرة؛ عندما يشتغل، يُحذف تلقائياً. مما يفيد أحصنة طروادة في الاستئناف.

* Autoexec.bat: هو ملف DOS للتشغيل التلقائي، ويستخدم كطريقة للبدء التلقائي لملفات مثل " > c:\Trojan.exe”.

* Config.sys: يمكن أن يستخدم أيضاً كطريقة للتشغيل الذاتي لحصان طروادة.

طرق الحذف:
ليس هناك طريقة وحيدة لحذف أحصنة طروادة بسبب تعدد أشكالها. الطرق الأبسط تتضمن تنظيف ملفات الانترنت المؤقتة وحذفها يدوياً. عادة تكون البرامج المضادة للفيروسات قادرة على اكتشاف حصان طروادة وإزالته آلياً. إذا لم تتمكن هذه البرامج من إيجاده، فإن إقلاع الحاسب من الـ CD قد يساعد البرامج المضادة على إيجاده وحذفه. تكون البرامج المضادة للتجسس الحديثة فعالة أيضاً ضد هذا التهديد.

بعض الأمثة عن أحصنة طروادة:



هذا واتمنى من الجميع ان يستفيد....

[نعيم السعدي]

معلومات جدا جيدا شكرا لكم

[alprince]

مشكور استاذنا العزيز والزكواني على الجهود وعلى هذه المعلومات المفيده والهامه حقيقة>>
لان مرت علينا هذه trojans و worms كثيرا عندما ياتوا طلاب المدارس بالفلاشات وهي مليئه بهن وبالفيروسات الضاره...

عسى ان تنتبهوا لهن!!!!

تحياتي

[تقنية]

فعلا موضوع رائع
لاني كنت أتسائل عن سبب هذه التسمية
شكرا لك أستاذنا البحراني

[مهندس علي الياسري]

السلام عليكم اخواني

جميع توصياتكم صحيحة لمواجهة الاختراق بالابتعاد عن الفيروسات والتروجونات التي تحاول الاختراق والاطلاع على والحصول على البيانات وحسابات البنوك.

لكن عتبنا الكبير على الشركات المصنعة للبرامجيات هي اولا واخيرا من يجب عليها اعادة النظر ببنية البرامج

والمقصود من كلامي التوثيق الالكتروني




اما بالنسبة لحصان طروادة فلقد ركب فية اخيل الذي اراد انقاذ برسيميس حبيبته من احراق مدينة طروادة ( سوده عليه) ومات هناك و حبيبته شردت.

[نعيم السعدي]

هندس علي الياسري

اقتباس:

اما بالنسبة لحصان طروادة فلقد ركب فية اخيل الذي اراد انقاذ برسيميس حبيبته من احراق مدينة طروادة ( سوده عليه) ومات هناك و حبيبته شردت.

ممكن تشرح العباره وتوضحها اخي

[JaLaL SaLiM]

لي عودة للقراءه

شكرآ

[عبد الله البحراني]

اقتباس:
المشاركة الأصلية كتبت بواسطة نعيم السعدي
هندس علي الياسري

ممكن تشرح العباره وتوضحها اخي



أخي نعيم

في القصة ان أخيل وهو من الاغريق كان من ضمن الاشخاص الموجودين في الحصان الخشبي ... وكان هدفه انقاذ حبيبته من الموت بعد اقتحام المدينة ... ولكنه قتل للاسف.

تحياتي

[JaLaL SaLiM]

هل الفرمته الكامله للجهاز مابين فتره وفتره ، حل للحماية والتخلص من الملفات المشبوهه هذي ؟