اثناء تصفحي للإنترنت قبل اسبوع قمت بنسخ رابط وألصقت الرابط بصفحة جديدة ونقرت زر الإدخال… فاجأتني صفحة وتحذير بأن جهازي يحتوي فيروساً وأن بياناتي سيتم إلغائها بسبب الفيروس وينصح التحذير بتحميل برنامج مكافحة فيروسات غامض.طبعاً لم اصدق هذا ،فقمت بمجاراته والنقر على موافق فظهرت نافذة تستأذنني في تحميل البرنامج اغلقت النافذة بكل بساطة وقمت بالبحث في سجلات النطاقات عن معلومات عن هذا الموقع وعن الملف الذي لم أوافق على تحميله…والغريب أن النطاق ستنتهي صلاحيته بعد يومين فقط وأن المالك للنطاق تاريخه اسود في ارسال الرسائل المزعجة والترويج لبرامج التجسس والتخريب. رجعت للصفحة التي نسخت منها الرابط فتبين لي أن الرابط الذي نسخته مختلف عن الرابط الذي الصقته… نسخته مرة أخرى ولايزال الرابط المشبوه عالقاً في الحافظة قمت بنسخ نص عشوائي ولكن لا يزال الرابط المشبوه متمسكا بالحافظة
عجيب…
انتابني الشك بأن جهازي يحتوي فيروساً بالفعل فقمت بإغلاق جميع البرامج وحاولت النسخ واللصق مرة أخرى ولكن هذه المرة كل شيء طبيعي. عندها فتحت الفايرفوكس واخترت إعادة جميع الصفحات التي كانت مفتوحة قبل الإغلاق… عادت المشكلة من جديد… يبدو أن المشكلة جائت من أحد المواقع التي كنت اتصفحها… حاولت إغلاقها الواحدة تلو الأخرى … أجل …  المشكلة تكمن في صفحة من موقع digg.com

سبب المشكلة:

شريط اعلاني بصيغة فلاش قام صاحبه بوضع نص برمجي في الفلاش يقوم بتخزين رابط في الحافظة… وقام بدفع المال كي ينشر الإعلان في اكثر المواقع شهرة حتى يتمكن من صيد أكبر عدد ممكن  من الزوار.

متى بدأ الإعلان في الظهور؟

ظهر منذ عدة أشهر ولكن لم يكتشف إلا بعد شهرين من تاريخ ظهوره ولا يزال ينتشر إلى اليوم. وهذه صورة لأحد الإعلانات الملغمة

ما المنتجات التي يروج لها؟

يروج لبرنامج مكافحة فيروسات يسمى Antivirus 2009 … هذا البرنامج وهمي وليس مكافحاً للفيروسات وإنما برنامج تخريبي

كيف تبدو صفحة المنتج؟

هذه صورة للموقع قبل أن تنتهي صلاحيته

وهذا هو الرابط الذي تم حفظه في الحافظة عندي http://secureclick1.com/2009/1/_freescan.php?id=880135
الرابط لا يعمل الآن ولكن ستظهر لك هذه الرسالة عند زيارته بمتصفح فايرفوكس…

الرسالة تعلمك بأن هذا الموقع تم التبليغ عنه بأنه غير آمن.

ماهي المتصفحات و أنظمة التشغيل المتأثرة بهذه الثغرة؟

جميع المتصفحات وجميع الأنظمة… باختصار المشكلة تكمن في إضافة مشغل ادوبي فلاش والحل سيأتي من عندهم لإغلاق هذه الثغرة فهم يعملون الآن على إيجاد حل

كيف أجرب إن كان جهازي متأثر بهذه الثغرة؟

قام أحد الباحثين بعمل نسخة تجريبية لإثبات المشكلة ، فعند فتح هذه الصفحة التي تحتوي على ملف فلاشي باسم test.swf سيتم حفظ الرابط  http://www.evil.com في حافظة الجهاز
قم بنسخ أي نص وجرب لصقه مرة أخرى… هل لاحظت شيئا غريبا!!!
إن طفح بك الكيل أغلق الصفحة وسيتم تحرير حافظتك من قبضته.

ماهو الحل لمنعه هذه المشكلة؟

بإمكانك حجب الفلاش لحين وصول ترقيعة أو تحديث من شركة أدوبي

هل الثغرة خطيرة؟

الثغرة ليست خطيرة إن كنت واعياً لطرق التحايل التي يتبعها المخربون ولكن الخطورة تكمن في أن البعض قد يتم استغفالهم لتحميل البرنامج التخريبي.

كيف يمكن استغلالها؟

- تخيل أنك تملك منتدى والإعلان الفلاشي الملغوم في أعلى صفحتك… سيعاني الكتاب في منتداك من مشكلة كبيرة في النسخ واللصق خاصة إن كان منتداك ممن تنطبق عليهم عبارة (الناسوخ والشاكور) على قولة أخونا سردال

- خطرت في بالي فكرة ليست بالسيئة لاستغلالها في برنامج البالتوك، حيث يقوم البعض بالدخول في الغرف وملئها بالإعلانات أو الروابط أو السب والشتم. لو تم وضع بانر فلاشي ملغوم كهذا بالإمكان استبدال النصوص المنسوخة بدعاء "سبحان الله وبحمده ، نستغفره ونتوب إليه". شريطة أن توضع في الأوقات التي يكون فيه هجوم على الغرفة وإلا سيطفش رواد الغرفة.

مراجع

• مختبر برامج التخريب
  
• مطور لأحد برامج إدارة الحافظة
  
• مدونة شركة أدوبي
  
• إثبات الثغرة
  

عيدكم مبارك وعساكم من عواده