السلام عليكم ورحمة الله تعالى و بركاته.

البارحة قمت بتحميل برنامج Adobe Illustrator من احدى قنوات torrent و اخترت احسن برنامج تم تقييمه، و عدد المحمّلين للبرنامج .. كنوع من الثقة الا أنني أخطأت الهدف.

على كل حال، انتظرت تحمّل البرنامج و جربت تنصيبه قبل قليل .. اذا بي أشك بطريقة تنصيب البرنامج .. شغلت برنامج حماية ESET كان مثبت مسبقاً و فعّلت خاصيتي :

  • Real-Time File protection

  • Network traffic Filtering

عند الضغط عليه (أقصد البرنامج بصيغة app) ، يتوقف قليلا ثم يفتح صفحة من احدى المواقع المعيّنة مسبقاً على متصفح سفاري، ثم يقوم بتحميل ملف بهذا المسمّى (setup_01.21.pkg)

قمت بالضغط عليه لتنصيبه، و لتهاوني و أول مرة يخدعني فيروس كهذا .. مع أنّ لي و الحمد لله لي تجربة سابقة بعلم الفايروسات و تحليلها (على نظام الويندوز) لكنّي جديد على نظام الماكنتوش .. ظننته مكتبات مرفقة لبرنامج illustrator أو Patch ..

عند تنصيبه لا يظهر أي شئ، سوى انه يخبرك بأسماء بعض المكتبات الجيّدة لجهازك ..

.. بعد خطوات .. تم التنصيب؛ لكن أين البرنامج؟؟

أوك، تأكدت أنني وقعت في الفخ، ما الحل؟ .. كيف أقوم بتغيير جميع كلمات مرور حساباتي قد احتفظت بها على متصفحي. و بدأت تأتيني تلك الأوهام .. أنه قام بعمل Grabbing لمفاتيحي و ملفاتي الخاصة.

بعد مهلة، بدأت بالبحث عن برامج بها خاصية Sandboxing التي ترشدني لتتبع مسارات الملفات المنصّبة من قبل هذا الملف الخبيث ..

بعد البحث المطوّل وجدت برنامج AppCleaner .. لكن للأسف لا يدعم ملفات pkg !

فحصت الملف app .. عبر أسلوب (اظهار محتويات الحزمة) و اظهرت ملفاته و توصلت لأول رابط خبيث ..

تفحّصت الروابط على موقع virustotal لعلّني أجد شخصا قد سبقني للبرنامج و وفر عني التحليل و أتخلص منه مباشرة .. لكن لا يوجد شئ .. !

بحثت مرة أخرى عن أدوات malware analyses لايجاد حل لفحص هذا الملف بطريقة static (أحد أساليب مختبري أمن المعلومات) .. لأني لا أريد تحليلاً للشفرات عبر برمجيات IDA Pro و طول الوقت اللازم + لأني نسيت لغة الأسمبلي لي فترة لم أكتب بها.

حملت في الأخير أداة Suspicious Package لتحليل pkg :

(النتائج) :

في pkg هناك ملف مضمّن بصيغة bash اسمه postinstall.sh :

  • في السطر الأول للشفرة نجد وظيفة func_act() تأخذ بعض البرامترات حول نوع الجهاز و تضمنها في متغيّر : mid.

  • في الأسطر المتبقيّة يتصل الخبيث بموقع آخر و يرفق صفة جهازك ليحمّل ملفاً آخر يتوافق معك .. و ينسخه لهذا المسار : /var/tmp/act.tgz

باختصار و لضيق الوقت و أنا أكتب الموضوع بسرعة .. وجدت أن برنامج الحماية الرائع ESET منع تحميل الملف و للتأكد من ذلك .. و هنا ارتاح قلبي و ضميري.

الفائدة المرجوة من الموضوع:

  • لا تثق في أي ملف مهما كان، (حجمه، عدد المحمّلين، التقييمات) ان كنت تستخدم موقعاً غير موثوق.

  • برنامج الحماية أمر هام، مهما اختلف نظام الجهاز.

  • تخيل لو أنني لم أنصب برنامج الحماية : لكان الخبيث فيروس فدية ransomware مثلاً أو اي برنامج ضرر، أقلّها يسرق ملفاتك و صورك و مفاتيحك الخاصة (كلمات مرور لمواقع بنكية) ..الخ . لكن الحمد لله (طلع مبرمجه شخص غبي و غير ذكي، كان بامكانه اخفاؤه بشكل أكبر من هذا).

اتمنى تكون وصلت المعلومة، بالتوفيق للجميع.