منذ فترة ليست  بالقصيرة انتشر تروجان جديد اسمه OddJob يستهدف حسابات البنوك الالكترونية و يقوم بسرقة المال منها حتى لو قام المستخدم بتسجيل خروجه من الحساب.

ذكر Amit Klein المختص في مجال حماية المتصفحات أن OddJob هو نوع جديد من التروجانات المعقدة و المبرجة بشكل ذكي , حيث أنه يستهدف الحسابات البنكية و يقوم بعمل Session Hijacking لحساب الهدف باستخدام session ID الخاص به. ما يجعل  OddJob مميز و فريد من نوعه هو أنه يوهم المستخدم بأنه تم تسجيل خروجه بنجاح و لكن في الحقيقة أن التروجان يبقي المستخدم متصل  حتى يتم سحب المال بشكل كامل.

OddJob يقوم بهذا عن طريق اعتراض اتصال المستخدم خلال المتصفح سواءا كان Internet Explorer أو fire Fox و تخزين رمز User ID. البنوك الألكتروينة تستخدم هذا الرمز للتعرف على المستخدم المتصل , و من خلال تخزين قيمة هذا الرمز التروجان ستمكن من تنفيذ عدد من العمليات الالكترونية الخطيرة في الحساب بما فيها سحب المال منه.

بعد عمليات الهندسة العكسية على التروجان تبين أن التروجان مبرمج من قبل هاكرز موجودين في أروربا الشرقية لاستهداف مستخدمين موجودين في مناطق مختلفة من العالم كالولايات المتحدة الامريكية و بولندا.

من المثير للاهتمام أن التروجان يبدو أنه مازال تحت التطوير , حيث لاحظ Amit Klein تغير ملحوظ في الدوال المستخدمة في التروجان و طريقة عمله. ففي البداية التروجان كان يبقي session المستخديمين مفتوح فقط بعد تسجيلهم الخروج دون سرقة أي مال من الحساب , و لكن في الاونة الاخيرة بدأ التروجان بسرقة المال من الحسابات المستهدفة. لذلك فلا نعلم كيف سيتغير تصرف التروجان في الايام المقبلة بما أن المبرمج مستمر في تطويره.

كما قلنا سابقا فبدلا من سرقة معلومات تسجيل الدخول , التروجان يقوم بعمل Session Hijacking و الدخول الى الحساب بشكل مباشر.و لتفادي برامج الحماية OddJob لا يقوم بتخزين المعلومات على الجهاز المصاب ولكن يقوم بارسالها بشكل مباشر الى سيرفر الاوامر (C & C server).

للمزيد من المعلومات: New financial trojan keeps users online banking session open after users logout.

التعليقات (13)

جزيل الشكر ..
أرسلت بواسطة: ابوفهد في February 24, 2011

..

ولكن عزيزي زيد القريشي .. ماذا يفعل التروجان بـ ][ المال ][ ؟ هل يقوم بتحويله لحساب معين في دولة معينه ؟

يعتبر هذا خطر كبير على مبرمج التروجان .. لا اعتقد انه بهذا الغباء

• 
• +3
• 
• 

...
أرسلت بواسطة: زيد القريشي في February 24, 2011

بصراحة سؤال ذكي و لكن الفريق الذ يقوم بتحيل عمل التروجان لم يذكر أي شيء عن هذا , فكل ما ذكروه هو انه يسحب المال من الحسابات المستهدفة , طبعا الفريق ذكر بأن عمليات الهندسة العكسية ما زالت مستمرة من اجل تحيل هذا التروجان لذلك فهم لم ينتهوا من فهم كيفية عمله بشكل كامل و سنعرف الجواب عندما يتنهوا من ذلك.

• 
• +4
• 
• 

هههههه
أرسلت بواسطة: LoserZero في February 25, 2011

الحقيقه ان الفيروسات ومبرومجيها بقت متطوره بشكل كبير جدا وتحس انها من عزله عن الهكرز ومع ذالك الهكرز بيستقل من مصنع الفيرس معني ديما كنت اعتبره اخطر نوع لان قبل كده فيرس تسبب في ان طياره تقع ويموت 70 شخص
التروجانت والفيرسات حاليا بقت هدفها متطور زمان كانت تخريب من اجل الشهره
حاليا ياما سرقت المال ياما استخدام الجهاز في خدمات حجب الخدمه
ع العموم مش عارف اقول ايه مجال الفيرسات ذكي بس عاوز مبرمج كويس ومحترف
وه

• 
• +1
• 
• 

شكراً لكـ
أرسلت بواسطة: سعد المطيري في February 25, 2011

شكراً لك على المقال الرائع

و ننتظر تحليل الفايروس

• 
• +1
• 
• 

:)
أرسلت بواسطة: Xeriab Nabil في February 25, 2011

امممم .. الأحصنة صارت أقوى و أفضل و أكثر تعقيداً!

الحرب قادمة قريباً جداً لا محالة .. الثقة الآن بالمصادر المفتوحة تحديداً المتصفحات! و هل سيكون هناك المجال لتطوير المتصفحات بحيث تصبح أكثر ذكائاً لتفادي هذا النوع من الأخطار ؟ بإعتقادي أن الأعتماد على الجدران النارية و برامج الحماية ليس كافياً البتة :)

كما أن تطور تقانات الوب و اندماجها مع تقانات أخرى كسطح المكتب يشكل تحدياً أكبر لخبراء الحماية :)

مقال رائع..

• 
• +0
• 
• 

مازلنا في خطر
أرسلت بواسطة: OmanRoot في February 25, 2011

تعتبر هذه التورجنات مازالت في طور الطبقات البيانية التي تحمل امتداد للملف
ولكن الخطر الاكبر في ان يقوم مبرمج الفايرس بصناعتة بمتداد حزمي حيث يقوم على سبيل الميثال بوضعة حزمة لبرنامج المتصفح حيث تتميز الحزم بعدم ظهورها لقرص المستخدم او لبرامج السكان ومن المستحيل ازالتها الا عن طريق حذف البرنامج المصاب او قطع الحزمة اذا عرف مسارها
ولدي شرح عملي لكيفية صنع مثل هذه الامتدادات الحزمية حيث كنت من المختصين في مجال الفيروسات

• 
• +2
• 
• 

شكر وطلب من الأخ عمر
أرسلت بواسطة: majed_19845 في February 25, 2011

السلام عليكم

بارك الله فيك أخي زيد لتطرقك إلى هذا الموضوع، ونتمنى أن يكون هنالك دروس عربية احترافية لبناء الفيروسات العقدة أو على الأقل تشريحها باستخدام الهندسة العكسية

وعندي طلب من الأخ عمر وهو أن يضع لنا شرح عملي حول كيفية صنع تلك الامتدادات

تحياتي
أخوكم : ماجد

• 
• +0
• 
• 

شكرا
أرسلت بواسطة: Terorrist في February 25, 2011

"مباشر الى سيرفر الاوامر (C & C server)." هل تقصد سيرفر مبرمج الفايروس , ادا كان الأمر كدلك لما لا يقومون باختراق السيرفر و سيكون القبض على المتهم بسهولة أكبر ..
تحياااتي .

• 
• +0
• 
• 

بروك فيك اخي♥ زيد القريشي ♥
أرسلت بواسطة: ســامي في February 25, 2011

بورك فيك اخي ♥ زيد القريشي ♥ لموافتنا دائما بجديد

عموما التروجنات في تطور مستمر وبات امر تحليها شبه مستحيل لضهور تقنيات جديدة
جد متطورة وقد يطول امر اكتشاف التروجان وهذا ما يأدي الى كارثة حتمية

عموما أأكد ان العالم سيشهد حروبا الكترونية قاسية بغرض الاقتصاد والسياسة

نسأل الله العفو والعافية .

ســــــامي :)

• 
• +0
• 
• 

شكر
أرسلت بواسطة: Hit-Man في February 25, 2011

الشلام عليكم
شكرا لك أخي زيد على المقال
و ننتضر تحليل للفايروس
تسلم أخي

• 
• -1
• 
• 

...
أرسلت بواسطة: pc.pirate في February 26, 2011

هذا التروجان خطير جدا
أين الهكرز و المبرمجين العرب من هذا ؟ بصراحة رغم اننا تطورنا لكن ما زلنا بعيدين بسنوات ضوئية عن الغرب
مشكور على الموضوع اخي زيد

• 
• +0
• 
• 

حلو
أرسلت بواسطة: waajeeh في February 28, 2011

هذه المعلومات تجعلنا نجعل الحماية هدفنا الرئسي اكتر واكتر

شكراً لك اخوي زيد

• 
• +0
• 
• 

بارك الله فيك ’ ’ زيد القرشي ’’
أرسلت بواسطة: mr.rakan في October 24, 2011

مششكوور اخي زيد ,

تمد بود ..

• 
• +2
• 
•