‼️ تحقق من Clash For Windows ‼️ اليوم أصيب الكمبيوتر الجديد الذي لم يمضِ على تركيبه أقل من أسبوع بفيروس، ولحسن الحظ لم تُسرق أي أصول، وقد قمت بالفعل بتغيير المحفظة.

سبب الاكتشاف هو أن الكمبيوتر كان مفتوحًا في بعد الظهر وألعب بالهاتف بجانبه، وعندما نظرت لأعلى وجدت الماوس يتحرك، ودخل الكمبيوتر إلى صفحة تحتاج إلى إدخال رمز PIN، واعتقدت أن الماوس معطل فحاولت السيطرة، واكتشفت أن الطرف الآخر يتصارع معي لفتح الخلفية في الزاوية اليمنى السفلية. لم أتمكن من رؤية ما كان يفعله، وكانت يدي أسرع من عقلي وضغطت مباشرة على زر إعادة التشغيل القسري في الصندوق.

لأن مكونات الكمبيوتر ونظام التشغيل (صورة التحميل من الموقع الرسمي) قمت بتثبيتها بنفسي، فإن البرامج على الكمبيوتر الجديد ليست كثيرة مما يسهل عملية البحث عن الأخطاء، وقد تكون بعض البرامج تم تحميلها من طرق غير رسمية.

ثم قمت بتنزيل Huorong و 360 وقمت بفحص عدة مرات، وحصلت على الملفات المشكلة التالية:

يمكن أن نلاحظ أن هناك ملفين قابلين للتنفيذ، أحدهما في دليل clash for windows وهو facation.exe، والآخر في مجلد ~/Vedios في مجلد مخفي وهو enqucz.exe. لأن clash for win قد حذفت المكتبة منذ فترة، كنت أستخدمه فقط كعادة، وفي الأيام الماضية عندما قمت بالتحميل، فكرت في احتمال وجود مشكلة، لكنني لم أضع ذلك في اعتباري، ولم أتوقع أن يحدث الانفجار بهذه السرعة.

لا يوجد ملف يسمى facation في نفس إصدار clash for win على جهاز كمبيوتر آخر. عند فتح everything والبحث، رأيت أنه حفظ بتفاصيل دقيقة سجلات متصفح chrome الخاصة بي:

داخل كل مجلد يوجد ملف log، يحتوي على الكثير من معلومات التصفح الخاصة بي مثل معلومات الصفحات التي تم فتحها وغيرها (الملفات كبيرة جدًا، لا أعلم ما هو الترميز، ولم أتمكن من العثور على أي معلومات حول المفاتيح الخاصة حتى الآن)، إنه أمر مخيف للغاية!

ملف enqcz.exe آخر مخفي بعمق، ليس في دليل clash، بل مخبأ في دليل Vedio (ليس لدي أي فيديو في جهاز الكمبيوتر الخاص بي)، يمكن رؤية تاريخ الإنشاء وهو قريب جداً من الملفات المتعلقة بـ facation.exe، كلها في مساء يوم 7 يوليو حتى الليل. بالإضافة إلى ذلك، هذا في مجلد مخفي، حتى عند فتح الكمبيوتر لعرض الملفات المخفية أو إدخال أمر ls لا يمكن رؤيته، يجب إدخال Get-ChildItem -Force في powershell لرؤيته.

لذا يجب أن يكون البرنامج الضار قد تم تثبيته منذ حوالي 7 يوليو عندما قمت بتثبيت clash for win (لأنني قمت بتثبيته عدة مرات ولا أتذكر المصدر جيدًا)، وكان يتربص في الكمبيوتر، ثم بدءًا من الليلة الماضية بدأت في ملاحظة شيء غير طبيعي، وهو أن استهلاك الذاكرة في chrome مرتفع للغاية وأحيانًا يرتفع استخدام CPU إلى 100%، لكنني اعتقدت أن هناك ملحقًا به خطأ ولم أولي الأمر اهتمامًا، ثم في فترة ما بعد ظهر اليوم تم التحكم في الكمبيوتر عن بُعد.

المعالجة بعد الحدث: قام برنامج مكافحة الفيروسات بفحص القرص عدة مرات، وتم إيقاف جميع خدمات التحكم عن بعد في Windows، وحذف جميع ملفات Clash ذات الصلة، وتم نسخ برنامج التثبيت الخاص بـ Clash Verge (المكتبة الرسمية) باستخدام فلاش ميموري تم تنسيقها من كمبيوتر آخر. بعد نقل أصول المحفظة، تم قطع الاتصال بالإنترنت وتم تغيير رمز PIN للكمبيوتر، أما كلمات المرور الأخرى فقد كانت آمنة نسبيًا لأن جميعها محمي بتوثيق ثنائي. يجب أن أجد وقتًا لإعادة تثبيت النظام لاحقًا. (عندما أفكر في إعادة تكوين بيئة التطوير، أشعر بالانزعاج)

أخيرًا، أنصح جميع أصدقاء الويب 3 بعدم تحميل أي برامج كمبيوتر من طرق غير رسمية، وخاصة تلك المتعلقة بالمتصفحات/لوحات المفاتيح/برامج الوكيل/برامج التواصل الاجتماعي.