الرئيسية > أمن المعلومات > خبايا دودة Conficker

خبايا دودة Conficker

22 مارس, 2009
الذهاب إلى التعليقات أترك تعليق

خبايا دودة الـConficker الشهيرة, أغلبنا أن لم يكن الجميع قد سمع بهذه الدودة الذي ضربت الكثير من الأجهزة حول العالم والذي تسبب قلق كبير للشركات وخصوصاً الشركات التي تعمل بأنظمة ويندوز وشركات الأمن المعلوماتي .. الغريب في الأمر أن الأغلبية لا يعلم بما تعمل هذه الدودة, ولكن اليوم سوف نتناول هذا الشيء من خلال بحث صغير قمت بة.

الطريف في الأمر أن مبرمجو هذه الدودة يقومون بعمل نسخة/أصدار جديد كل فترة (أحسست أنها كـ برنامج – تطبيق يتم تطويرة كل فترة ليقدم خدمة أفض, ولكن الدودة هذة يتم تطويرها كل فترة لتزيد الضرر أكثر من السابق)

أولاً يجب أن نعلم أن الدودة معروفة بكثير من الأسماء مثل:- Win32/Conficker.D, Win32/Conficker.C, Win32/Conficker.A, Win32/Conficker.B-Both, W32/Confick-G , Trojan.Win32.Pakes.ngs

وهية تعمل على أغلب أصدارت ويندوز مثل:- 95, 98, 2000, ME, NT, Xp, Vista, Windows Server 2003 + 2008 .. لم يتم تجربتها على ويندوز 7 ولكن من المؤكد هية تعمل علية.

ماتقوم به هذه الدودة الشهيرة هو أنهيار للنظام بشكل بطيء كل(الموت ببطئ) فهية تعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) تقوم بأيقاف أغلب الخدمات في الويندوز مثل منع التاسك بار, ألغاء تفعيل محرر الريجستري, حجب أشهر المواقع كـ google, yahoo, Facebook, aol, MSN, MySpace, Microsoft وبقية المواقع المشهورة أيضاً تقوم بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تضهر لك رسالة أنك ليس متصل بالانترنت, وتشل عمل برامج مكافحة الفيروسات مثل النورتن – كاسبرسكاي – مكافي..الخ, أستهلاك كبير للـ Processor و الـ RAM, تعطيل الجدار الناري (الافتراضي الخاص بـ ويندوز) ,, ايضاً قد يتم فصل الأتصال بالانترنت ويجب عليك أن تعيد الأتصال يدوياً !

ولا تستغرب أن رأيت متصفح الويب .. قام بتشغيل نفسة تلقائياً وتم الأتصال بأحد المواقع المشهورة .. فهية تقوم بذالك لفحص الأتصال عندك :)

تقوم الدودة بنشر نفسها في المسارات التالية

مسار النظام:-

للأصدار 2000 و NT فهية تنتشر في المسار التالي C:\Winnt\System32

اما للـ 95, 98, ME في المسار C:\Windows\System

وأخيراً للـ Xp, Vista, Windows Server 2003 + 2008 في المسار C:\Windows\System32

ومجلدات البرامج لجميع الأصدارات في المسارات التالية:-

Program Files\Windows NT
Program Files\Windows Media Player
Program Files\Internet Explorer
Program Files\Movie Maker

ملاحظة:- المسارات هذه هية الأفتراضية في الويندوز, ويمكن تعديلها عند تركيب النظام بواسطة Sys.Admin, للعلم أن الدودة ذكية نوعاً ما فهية لا تعتمد على المسار الأفتراضي بل تعتمد على المسار الموجود فية النظام مثلاً  أن كان النظام على البارتشن D أو غيرة!..

ملاحظة:- الدودة تحتوي على مولد صغير لتوليد اسماء للملفات فهية في كل مرة تنسخ نفسها بأسم مختلف, مما يصعب الأمر على مدير النظام من معرفة أن كان هذا الملف سليم أم لا .. الشيء الثاني أن الدودة تقوم بأخفاء الملفات هذه وتغير الـ privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها :) ..

أيضاً تقوم الدودة بأنشاء ملفات أو تسجيلات خاصة بها في الـ Registry .. وأيضاً تقوم بأنشاء خدمات خاصة بها بأسماء مختلفة مثل

App,Audio,DM,ER,Event,help,Ias,Ir,Lanman,Net,Ntms,Ras,Remote,Sec,SR,Tapi,Trk,W32,win,Wmdm,
Wmi,wsc,wuau,xml,access,agent,auto,logon,man,mgmt,mon,prov,serv,Server,Service,Srv,servr,svc,Svc,System,Time

وعلى سبيل المثال قد تجد للدودة مدخلات في الـ Registry على هذا الشكل:-

HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\DisplayName = ”Component Task”
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ErrorControl = 00000000
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ImagePath = ”%Root%\system32\svchost.exe -k netsvcs”
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ObjectName = ”LocalSystem”
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Description = ”<randomly copied from an existing service with a Startup Type of 2 >”
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Parameters\ServiceDll = ”%System%\<worm executable >”

للأن لا أستطيع أن أقول لكم أعتمدو على مكافح فيروسات معين .. فهي تشل المكافحات, أو تحديث المكافح المعين! .. ولكن أن رأيت في الجهاز شيء من ماقيل سابقاً

“”ماتقوم به هذه الدودة الشهيرة هو أنهيار للنظام بشكل بطيء كل(الموت ببطئ) فهية تعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) تقوم بأيقاف أغلب الخدمات في الويندوز مثل منع التاسك بار, ألغاء تفعيل محرر الريجستري, حجب أشهر المواقع كـ google, yahoo, Facebook, aol, MSN, MySpace, Microsoft وبقية المواقع المشهورة أيضاً تقوم بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تضهر لك رسالة أنك ليس متصل بالانترنت, وتشل عمل برامج مكافحة الفيروسات مثل النورتن – كاسبرسكاي – مكافي..الخ, أستهلاك كبير للـ Processor و الـ RAM, تعطيل الجدار الناري (الافتراضي الخاص بـ ويندوز) ,, ايضاً قد يتم فصل الأتصال بالانترنت ويجب عليك أن تعيد الأتصال يدوياً !

ولا تستغرب أن رأيت متصفح الويب .. قام بتشغيل نفسة تلقائياً وتم الأتصال بأحد المواقع المشهورة .. فهية تقوم بذالك لفحص الأتصال عندك :) ”"

فعليك أن تتأكد من سلامة الجهاز .. فهية فعلاً تعتبر خطيرة جداً ولا يستهان بها ..

في النهاية ..أمن معلوماتك على الجهاز لا تقل عن جواز سفرك, بطاقتك الشخصية ..الخ فهية كلها معلوماتك الخاصة

أطيب تحية

مصطفى البازي.

VN:F [1.9.3_1094]
Rating: 4.8/5 (2 votes cast)
خبايا دودة Conficker, 4.8 out of 5 based on 2 ratings
شـاركـهـا:-
  • Digg
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • StumbleUpon
  • Print
  • Live
  • Reddit
  • Technorati
  • MySpace
  • Yahoo! Buzz
  • LinkedIn
  • Identi.ca
  • Twitter
مصطفى البازي أمن المعلومات
  1. مصطفى البازي
    مارس 23rd, 2009 at 12:52 | #1
    Reply | Quote

    تم تحديث الموضوع
    تجدون التحديث على الرابط التالي :-

    http://www.isecur1ty.org/articles/8-vulnerabilitys-exploits/22-conficker-inside.html
    :)

    VN:F [1.9.3_1094]
    Rating: 0 (from 0 votes)
  2. أحمد منصور
    مارس 24th, 2009 at 19:23 | #2
    Reply | Quote

    ممتاز جداًشكراً لك على الشرح المميز :smile:

    VA:F [1.9.3_1094]
    Rating: 0 (from 0 votes)
  3. مصطفى البازي
    أبريل 1st, 2009 at 23:37 | #3
    Reply | Quote

    تحديث:

    أداة من سيمانتك تقوم بحذف الدودة من الجذور (ويندوز)

    رابط الأداة من مصدرها
    http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe

    VN:F [1.9.3_1094]
    Rating: 0 (from 0 votes)
  1. لا يوجد تعقيبات.