close up view of system hacking in a monitor

خبايا دودة Conficker

خبايا دودة الـــConficker الشهيرة، اغلبنا ان لم يكن الجميع قد سمع بهذه الدودة التي ضربت الكثير من الاجهزة حول العالم والتي تسبب قلق كبير للشركات وخصوصاً الشركات التي تعمل بانظمة ويندوز وشركات الامن المعلوماتي. الغريب في الأمر ان الاغلبية لا يعلم بما تقوم به هذه الدودة، ولكن اليوم سوف نتناول هذا الشيء من خلال بحث صغير قمت به.

الطريف في الأمر ان مبرمجون هذه الدودة يقومون بعمل نسخة او اصدار جديد كل فترة. أحسست أنها كـبرنامج او تطبيق يتم تطويره كل فترة ليقدم خدمة أفضل، ولكن الدودة هذة يتم تطويرها كل فترة لتزيد الضرر أكثر من السابق.

أولاً يجب أن نعلم ان الدودة معروفة بكثير من الأسماء مثل؛

 Win32/Conficker.D, Win32/Conficker.C, Win32/Conficker.A, Win32/Conficker.B-Both, W32/Confick-G, Trojan.Win32.Pakes.ngs

وهي تعمل على أغلب اصدارت ويندوز مثل؛ 95, 98, 2000, ME, NT, Xp, Vista, Windows Server 2003 + 2008 .. لم يتم تجربتها على ويندوز 7 ولكن من المؤكد انها تعمل عليه.

ماتقوم به هذه الدودة الشهيرة هو انهيار للنظام بشكل بطيء (الموت ببطئ) فهي تعمل على محاربة النظام من كل النواحي (هارد وير، سوفت وير) تقوم بايقاف أغلب الخدمات في الويندوز مثل منع التاسك بار، الغاء تفعيل محرر الريجستري، حجب أشهر المواقع كـ google, yahoo, Facebook, aol, MSN, MySpace, Microsoft وبقية المواقع المشهورة، أيضاً تقوم بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تظهر لك رسالة أنك ليس متصل بالانترنت، وتشل عمل برامج مكافحة الفيروسات مثل النورتن، كاسبر سكاي، مكافي…الخ. استهلاك كبير للـ Processor و الـ RAM، تعطيل الجدار الناري (الافتراضي الخاص بويندوز). ايضاً قد يتم فصل الاتصال بالانترنت ويجب عليك ان تعيد الاتصال يدوياً.

ولا تستغرب ان رأيت متصفح الويب قام بتشغيل نفسة تلقائياً وتم الاتصال بأحد المواقع المشهورة. هي (الدودة) تقوم بذلك لفحص الاتصال عندك!

تقوم الدودة بنشر نفسها في المسارات التالية؛

  • للاصدار 2000 و NT فهي تنتشر في المسار التالي C:\Winnt\System32
  • اما للـ 95, 98, ME في المسار C:\Windows\System
  • وأخيراً للـ Xp, Vista, Windows Server 2003 + 2008 في المسار C:\Windows\System32

ومجلدات البرامج لجميع الاصدارات في المسارات التالية؛

Program Files\Windows NT
Program Files\Windows Media Player
Program Files\Internet Explorer
Program Files\Movie Maker

المسارات هذه هي الافتراضية في الويندوز، ويمكن تعديلها عند تركيب النظام بواسطة Sys.Admin، للعلم ان الدودة ذكية نوعاً ما فهي لا تعتمد على المسار الافتراضي، بل تعتمد على المسار الموجود فيه النظام، مثلاً، ان كان النظام على البارتشن D أو غيره.

الدودة تحتوي على مولد صغير لتوليد اسماء للملفات، فهي في كل مرة تنسخ نفسها باسم مختلف مما يصعب الأمر على مدير النظام من معرفة ان كان هذا الملف سليم أم لا. الشيء الثاني أن الدودة تقوم بأخفاء الملفات هذه وتغير الـ privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها.

أيضاً تقوم الدودة بانشاء ملفات أو تسجيلات خاصة بها في الـ Registry. وأيضاً تقوم بانشاء خدمات خاصة بها بأسماء مختلفة مثل.

App,Audio,DM,ER,Event,help,Ias,Ir,Lanman,Net,Ntms,Ras,Remote,Sec,SR,Tapi,Trk,W32,win,Wmdm,
Wmi,wsc,wuau,xml,access,agent,auto,logon,man,mgmt,mon,prov,serv,Server,Service,Srv,servr,svc,Svc,System,Time
 

وعلى سبيل المثال قد تجد للدودة مدخلات في الـ Registry على هذا الشكل؛

HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\DisplayName = "Component Task"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ErrorControl = 00000000
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ImagePath = "%Root%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ObjectName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Description = "<randomly copied from an existing service with a Startup Type of 2 >"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Parameters\ServiceDll = "%System%\<worm executable >"

للان لا استطيع ان اقول لكم اعتمدو على مكافح فيروسات معين، فهي تشل المكافحات تماماً. ولكن أن رأيت في الجهاز شيء من ماقيل سابقاً. فعليك أن تتأكد من سلامة الجهاز. ففعلاً تعتبر خطيرة جداً ولا يستهان بها.

في النهاية، أمن معلوماتك على الجهاز لا تقل عن جواز سفرك او بطاقتك الشخصية.

أطيب تحية

مصطفى البازي

‎التعليقات‫:‬ 3 On خبايا دودة Conficker

شاركني برأيك