خبايا دودة Conficker

خبايا دودة الـConficker الشهيرة, أغلبنا أن لم يكن الجميع قد سمع بهذه الدودة الذي ضربت الكثير من الأجهزة حول العالم والذي تسبب قلق كبير للشركات وخصوصاً الشركات التي تعمل بأنظمة ويندوز وشركات الأمن المعلوماتي .. الغريب في الأمر أن الأغلبية لا يعلم بما تعمل هذه الدودة, ولكن اليوم سوف نتناول هذا الشيء من خلال بحث صغير قمت بة.

الطريف في الأمر أن مبرمجو هذه الدودة يقومون بعمل نسخة/أصدار جديد كل فترة (أحسست أنها كـ برنامج – تطبيق يتم تطويرة كل فترة ليقدم خدمة أفض, ولكن الدودة هذة يتم تطويرها كل فترة لتزيد الضرر أكثر من السابق)

أولاً يجب أن نعلم أن الدودة معروفة بكثير من الأسماء مثل:- Win32/Conficker.D, Win32/Conficker.C, Win32/Conficker.A, Win32/Conficker.B-Both, W32/Confick-G , Trojan.Win32.Pakes.ngs

وهية تعمل على أغلب أصدارت ويندوز مثل:- 95, 98, 2000, ME, NT, Xp, Vista, Windows Server 2003 + 2008 .. لم يتم تجربتها على ويندوز 7 ولكن من المؤكد هية تعمل علية.

ماتقوم به هذه الدودة الشهيرة هو أنهيار للنظام بشكل بطيء كل(الموت ببطئ) فهية تعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) تقوم بأيقاف أغلب الخدمات في الويندوز مثل منع التاسك بار, ألغاء تفعيل محرر الريجستري, حجب أشهر المواقع كـ google, yahoo, Facebook, aol, MSN, MySpace, Microsoft وبقية المواقع المشهورة أيضاً تقوم بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تضهر لك رسالة أنك ليس متصل بالانترنت, وتشل عمل برامج مكافحة الفيروسات مثل النورتن – كاسبرسكاي – مكافي..الخ, أستهلاك كبير للـ Processor و الـ RAM, تعطيل الجدار الناري (الافتراضي الخاص بـ ويندوز) ,, ايضاً قد يتم فصل الأتصال بالانترنت ويجب عليك أن تعيد الأتصال يدوياً !

ولا تستغرب أن رأيت متصفح الويب .. قام بتشغيل نفسة تلقائياً وتم الأتصال بأحد المواقع المشهورة .. فهية تقوم بذالك لفحص الأتصال عندك :)

تقوم الدودة بنشر نفسها في المسارات التالية

مسار النظام:-

للأصدار 2000 و NT فهية تنتشر في المسار التالي C:\Winnt\System32

اما للـ 95, 98, ME في المسار C:\Windows\System

وأخيراً للـ Xp, Vista, Windows Server 2003 + 2008 في المسار C:\Windows\System32

ومجلدات البرامج لجميع الأصدارات في المسارات التالية:-

Program Files\Windows NT

Program Files\Windows Media Player

Program Files\Internet Explorer

Program Files\Movie Maker

ملاحظة:- المسارات هذه هية الأفتراضية في الويندوز, ويمكن تعديلها عند تركيب النظام بواسطة Sys.Admin, للعلم أن الدودة ذكية نوعاً ما فهية لا تعتمد على المسار الأفتراضي بل تعتمد على المسار الموجود فية النظام مثلاً أن كان النظام على البارتشن D أو غيرة!..

ملاحظة:- الدودة تحتوي على مولد صغير لتوليد اسماء للملفات فهية في كل مرة تنسخ نفسها بأسم مختلف, مما يصعب الأمر على مدير النظام من معرفة أن كان هذا الملف سليم أم لا .. الشيء الثاني أن الدودة تقوم بأخفاء الملفات هذه وتغير الـ privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها :) ..

أيضاً تقوم الدودة بأنشاء ملفات أو تسجيلات خاصة بها في الـ Registry .. وأيضاً تقوم بأنشاء خدمات خاصة بها بأسماء مختلفة مثل

App,Audio,DM,ER,Event,help,Ias,Ir,Lanman,Net,Ntms,Ras,Remote,Sec,SR,Tapi,Trk,W32,win,Wmdm,

Wmi,wsc,wuau,xml,access,agent,auto,logon,man,mgmt,mon,prov,serv,Server,Service,Srv,servr,svc,Svc,System,Time

وعلى سبيل المثال قد تجد للدودة مدخلات في الـ Registry على هذا الشكل:-

HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\DisplayName = ”Component Task”
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ErrorControl = 00000000
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ImagePath = ”%Root%\system32\svchost.exe -k netsvcs”
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ObjectName = ”LocalSystem”
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Description = ”<randomly copied from an existing service with a Startup Type of 2 >”
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Parameters\ServiceDll = ”%System%\<worm executable >”

للأن لا أستطيع أن أقول لكم أعتمدو على مكافح فيروسات معين .. فهي تشل المكافحات, أو تحديث المكافح المعين! .. ولكن أن رأيت في الجهاز شيء من ماقيل سابقاً

“”ماتقوم به هذه الدودة الشهيرة هو أنهيار للنظام بشكل بطيء كل(الموت ببطئ) فهية تعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) تقوم بأيقاف أغلب الخدمات في الويندوز مثل منع التاسك بار, ألغاء تفعيل محرر الريجستري, حجب أشهر المواقع كـ google, yahoo, Facebook, aol, MSN, MySpace, Microsoft وبقية المواقع المشهورة أيضاً تقوم بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تضهر لك رسالة أنك ليس متصل بالانترنت, وتشل عمل برامج مكافحة الفيروسات مثل النورتن – كاسبرسكاي – مكافي..الخ, أستهلاك كبير للـ Processor و الـ RAM, تعطيل الجدار الناري (الافتراضي الخاص بـ ويندوز) ,, ايضاً قد يتم فصل الأتصال بالانترنت ويجب عليك أن تعيد الأتصال يدوياً !

ولا تستغرب أن رأيت متصفح الويب .. قام بتشغيل نفسة تلقائياً وتم الأتصال بأحد المواقع المشهورة .. فهية تقوم بذالك لفحص الأتصال عندك :)”"

فعليك أن تتأكد من سلامة الجهاز .. فهية فعلاً تعتبر خطيرة جداً ولا يستهان بها ..

في النهاية ..أمن معلوماتك على الجهاز لا تقل عن جواز سفرك, بطاقتك الشخصية ..الخ فهية كلها معلوماتك الخاصة

أطيب تحية

مصطفى البازي.

مشاركة المحتوى

أضف تعليق إلغاء الرد

3 تعليقات على: خبايا دودة Conficker

مصطفى البازي كتب:

23/03/2009 الساعة 12:52

تم تحديث الموضوع
تجدون التحديث على الرابط التالي :-

http://www.isecur1ty.org/articles/8-vulnerabilitys-exploits/22-conficker-inside.html

:)

هل أعجبك التعليق: 0 0

رد
أحمد منصور كتب:

24/03/2009 الساعة 19:23

ممتاز جداًشكراً لك على الشرح المميز :smile:

هل أعجبك التعليق: 0 0

رد
مصطفى البازي كتب:

01/04/2009 الساعة 23:37

تحديث:

أداة من سيمانتك تقوم بحذف الدودة من الجذور (ويندوز)

رابط الأداة من مصدرها
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe

هل أعجبك التعليق: 0 0

رد

التصنيفات

الأرشيف

خبايا دودة Conficker

أضف تعليق إلغاء الرد

3 تعليقات على: خبايا دودة Conficker