معهد سكيورتي العرب | وظائف خالية
وظائف 2018 سوق السيارات عقارات 2018 الارشيف البحث
اسم العضو:  
كلمة المرور:     
تسجيل المساعدة قائمة الأعضاء اظهار المشاركات الجديدة اظهارمشاركات اليوم

فيروس Conficker


فيروس Conficker
التوقيت الحالي : 11-16-2024, 08:22 AM
مستخدمين يتصفحوا هذا الموضوع:
الكاتب: dr.wolf
آخر رد: dr.wolf
الردود : 0
المشاهدات : 2524

إضافة رد 

فيروس Conficker

الكاتب الموضوع

رقم العضوية :3
الاقامة : ام الدنيا
التواجد : غير متصل
معلومات العضو
المشاركات : 7,392
الإنتساب : Oct 2010
السمعة : 5


بيانات موقعي اسم الموقع : سكيورتي العرب
اصدار المنتدى : 1.6.8

مشاركات : #1
Question فيروس Conficker

فيروس Conficker


السلام عليكم ورحمة الله وبركاته :



في مطلع السنة الحالية، صدرت دراسة من مختبرات باندا (Panda Security Libratory)، لتحليل البرمجيات الخبيثة والحماية منها، تفيد بأن ما يقارب الستة بالمائة (5.77%) من أصل مليونين جهاز كمبيوتر تم فحصها في مختبراتهم عن طريق الفحص النشط (ActiveScan) أتضح أنها مصابة بفيروس الكونفيكر (Conficker). الفيروس الذي نشأ في الصين وأنتشر الآن إلى مايقارب 83 دولة في مختلف أنحاء العالم، من ضمنها الولايات المتحدة وأسبانيا والبرازيل والمكسيك وتايوان وغيرها من الدول.

وأوضح الباحثون بأن بعض أنواع الفيروس يستخدم هجمات الBrute Force Attack لإستخراج كلمات المرور من أجهزة الكمبيوتر و الشبكات الداخلية للمنشأت المصابة بالفيروس. كماحذرت مستخدمي أجهزة الكمبيوتر و مدراء الشبكات من استخدام كلمات مرور ضعيفة ويمكن التنبؤ بها (كلمات مشهورة، أسماء خاصة، تورايخ الميلاد، وغيرها) والتي قد تساعد في نشر هذا الفيروس ووضع أجهزة الكمبيوتر وموارد المنشأة تحت رحمة المهاجمين (Attackers).

يقول المدير التقني لمختبرات باندا المهندس لويس كورونس: "من ضمن المليوني جهاز كمبيوتر التي تم فحصها، أتضح أن مايقارب 115,000 جهاز كمبيوتر أصيب بهذا الفيروس، منها على الأقل 18,000 جهاز كمبيوتر في الولايات المتحدة. لم نشهد مثل هذه الظاهرة منذ ظهور فيروسي كورنيكوفا و بلاستر، ونتوقع أن يزيد هذا الفيروس من فعاليته خلال الشهور القادمة بحيث يتمكن من تحميل (Payload) برامج خبيثة أخرى إلى أجهزة الكمبيوتر المصابة ونشر نفسه من خلال مجلدات المشاركة في شبكات نظام ويندوز".



فيروس كونفيكر(Conficker): أو ما يعرف أيضاً بـ Kido أو Downup أو Downadup ، هو فيروس يصيب أجهزة الكمبيوتر التي تعمل على أحد أنظمة مايكروسوفت ويندوز، إذ يقوم بنشر نفسه خلال الشبكات المتصلة مستغلاً نقاط الضعف الموجودة في خدميات خوادم ويندوز (Windows Server services) وذلك بدمج بعض الشفرات التنفيذية (Executable Codes) إلى بعض المكتبات المتصلة الديناميكية (Dynamical Linked Libraries - DLL) لهذه الخدميات.

للفيروس خمسة إصدارات تختلف في كيفية الإصابة بها وتأثيرها على النظام، ظهر أولها في شهر نوفمبر عام 2008 والمسمى (Conficker.A)، وأخرها في أبريل هذا العام (2009) والمسمى (Conficker.E). كل إصدار من فيروس كونفيكر يقوم بإستثمار المنافذ والشفرات التي تم زرعها مسبقاً من خلال الإصدارات السابقة للفيروس في الأجهزة المصابة.

واشتهر فيروس كونفيكر بصعوبة إكتشافه من قِبل خبراء الأمن و مشغلي الشبكات، وذلك لإستخدامه مركبات مختلفة من التقنيات المتقدمة في صناعة البرامج الخبيثة.

وتتعامل شركات البرمجيات وأمن المعلومات مع الفيروس بمسميات مختلفة، ومنها:

الإسم المستخدم
إسم الشركة

Win32/Conficker.version (A,B,C,D or E)
Microsoft, CA, ESET, Norman

Win32.Worm.Downadup.A
BitDefender

Net-Worm.Win32.Kido.js
KasperSky

Torjon.Disken.B
VirusBuster

WORM_DOWNAD
Trend Micro


من حوادثها: في منتصف يناير من هذا العام (2009)، صرحت البحرية الفرنسية بأن جزء من شبكة الحواسيب التي تملكها تعطلت بشكل تدريجي وذلك بسبب أصابتها بفيروس كونفيكر، مما أدى إلى شل حركة الطائرات في القواعد الجوية التابعة لها، وذلك لعدم تمكنهم من تحميل خطط سير الطائرات.

وفي شهر مارس، تسربت مذكرة لأحد مدراء البرلمان البريطاني تفيد بأنه في الرابع والعشرين من الشهر، أصيب عدد من أجهزة الكمبيوتر في مجلس العموم البريطاني (House of Common) بفيروس كونفيكر، وجاء في المذكرة بأن المجلس حذر المستخدمين من إيصال أي أجهزة غير مصرح لها بالشبكة.

في الأجزاء التالية من المقال، سنتناول شرح مكونات الإصدار (E) من الفيروس كونفيكر وطريقة عمله وإنتشاره و نواتجه؛ بما أنه الإصدار الأحدث والأكثر ضجة إعلامية.



التنزيل (Installation): تختلف الإصدارات من الفيروس كونفيكر في طريق التنزيل أو التحميل. يتضمن الإصدار (E) من فيروس كونفيكر ثلاثة مكونات أساسية، هي:

1) ملف .EXE التنفيذي (Worm:Win32/Conficker.E):

والذي يحتوي على الشفرة المؤثرة على الجهاز (Exploit Code)، بلإضافة إلى منهجية الإنتشار.

2) ملف .DLL المُسقِط Dropper (Worm:Win32/Conficker.E):

والذي يتم تحميله و فك شفرته عن طريق الملف .EXE ، ويقوم بإسقاط ملف .DLL التالي.

3) ملف .DLL المكون (Worm:Win32/Conficker.E.dll):

يحتوي على ملفات التشغيل والانتشار.

عند تشغيل الملف .EXE التنفيذي، يقوم بإسقاط وتشغيل الملف .DLL dropper والذي يقوم بدوره بتحميل ملف المكونات وتشغيلها على الجهاز.



طريقة الإنتشار: يقوم فيروس كونفيكر بنشر نفسه إلى أجهزة الكمبيوتر الأخرى بإستخدام أحد الطرق التالية:

1) ملفات المشاركة في شبكات ويندوز: عن طريق كسر كلمات المرور الضعيفة. وإسقاط ملفات ال DLL في أجهزة الكمبيوتر المستهدفة بإستخدام مؤهلات المستخدم الحالي (المصاب بالفيروس).

2) محركات التخزين القابلة للإزاحة: والتي تتصل بأجهزة الكمبيوتر عن طريق المنافذ عالمية التسلسل (USP)، وذلك بإخفاء إختيار التشغيل الذاتي (AutoRun)، وبذلك إجبار المستخدم لتشغيل ملفات الفيروس بمجرد فتح ملفات محرك التخزين.

3) استغلال نقاط الضعف في ملفات خدمات خادم ويندوز (Windows Server Service – srvsvc): وبالأخص تلك الأجهزة الغير محصنة ضد الثغرات المذكورة في نشرة ميكروسوفت Microsoft Security Bulletin MS08-067 (يمكن الحصول على التحديثات من الرابط). إذا تم استغلال هذه الثغرات من قبل الفيروس، يقوم الفيروس بتحميل نسخة محدثة منه باستخدام الجهاز المستضيف (المصاب) عن طريق البروتوكول HTTP والذي يستخدم منفذ TCP الذي يتم فتحه مسبقاً من قِبل الفيروس في الجهاز المصاب.

ولجعل عملية إكتشاف أو تحليل الفيروس عملية صعبة جداً، يقوم الفيروس بإستخدام دالة هاش (Hash Function) لتشفير أرقام المنافذ عن عناوين ال IP لكل من الجهاز المصاب والجهاز المستهدف.



حمولات الفيروس (Payloads):

1) السيطرة على محرك ال TCP/IP (tcpip.sys): وذلك لزيادة ورفع عدد الإتصالات (connections) المسموح بها في جهاز الكمبيوتر المصاب. يستخدم الفيروس هذه الطريقة من السيطرة لمنع أو تجاهل الحصول على خدمة حماية ملفات ويندوز (Windows File Protection).

2) توقيف العمليات: يقوم الفيروس بفحص قائمة العمليات (Process List) كل ثانية واحدة، لإيقاف العمليات أو البرامج التي تتضمن مسميات تدل على الحماية، مثل:

autoruns - "Autoruns" program
avenger - kernel-mode security program

filemon - "File Monitor" program
gmer - rootkit detection program
kb958 - Microsoft KB article, includes MS08-067
klwk - Kaspersky program

mbsa. - "Microsoft Baseline Security Analyzer" program

ms09 - Microsoft Security Updates released in 2009
regmon - "Registry Monitor" program

tcpview - tool used to view TCP connection and traffic
wireshark - network protocol analyzer tool

3) محاولة الإتصال بشبكة الإنترنت: يقوم الفيروس بفحص مستمر لقنوات الإتصال للحصول على قناة متصلة بشبكة الإنترنت، وذلك بفحص أحد المواقع التالية:

http://www.aol.com
http://www.cnn.com
http://www.ebay.com
http://www.msn.com
http://www.myspace.com

4) منع نطاق العناوين الرقمية المميزة وتصفيتها ( -Domain Blocking / IP Filtering): يقوم الفيروس بمنع الوصول إلى بعض نطاق العناوين الرقمية المميزة لأجهزة الحاسب (IP Addresses). كما يقوم بتعليق المكتبة DNSAPI.dll وذلك لمنع الوصول إلى مواقع الانترنت التي تحمل في عناوينها (URL) بعض المصطلحات التي تشير إلى محاولة الوصول إلى تحديثات للنظام أو برامج مكافحة الفيروسات أو مواقع الفحص النشط على الإنترنت، مثل المصطلحات التالية:

esafe
eset
etrust
ewido
f-prot
f-secure

fortinet
free-av
freeav
fsecure

gdata
grisoft
hackerwatch
hacksoft
hauri


centralcommand
clamav
comodo
computerassociates
confick
coresecur

cpsecure
cyber-ta
defender
downad
doxpara

drweb
dslreports
emsisoft
enigma


activescan
adware
agnitum
ahnlab
anti-
antivir
arcabit

av-sc

avast
avgate
avira

bdtools

bothunter
castlecops
ccollom


5) تحديد العنوان الرقمي المميز الخارجي (External IP Address) للجهاز المستضيف: وذلك بالاتصال بشكل دوري على أحد المواقع التالية:

http://www.ipaddressworld.com
http://www.findmyip.com
http://www.ipdragon.com
http://www.whatsmyipaddress.com

checkip.dyndns.org
checkip.dyndns.com
http://www.myipaddress.com
http://www.findmyipaddress.com



6) فتح منافذ TCP في الجهاز المستضيف: يستخدم الفيروس كونفيكر البروتوكول (Simple Server Domain Protocol – SSDP) للبحث عن أدوات خاصة ببوابات الإنترنت ( مثل الموجهات -routers) ثم يقوم بإصدار أوامر SOAP Commands على الجهاز المستضيف، والتي تسمح بتنفيذ إجراءات عن بعد باستخدام بروتوكول HTTP و تحميل ملفات XML. تقوم هذه الأوامر بفتح منفذ TCP خارجي ثم يعيد توجيهه إلى منفذ IP داخلي (internal IP:port)، الذي يؤدي إلى ظهور مشاكل في قنوات الاتصال إما التي تحتوي على حزم بيانات كثيرة أو تلك التي نادراً مل تستخدم.

7) التدمير الذاتي في تاريخ 3 مايو 2009.



طرق الحماية: يمكن للمستخدم حماية نفسه من الفيروس كونفيكر بجميع إصداراته، بإتباع الطرق والمنهجيات التالية:

1) استخدام أحد برمجيات جدار الحماية (Firewall) أو تفعيل خدمة Microsoft Windows Internet Connection Firewall.

2) الحصول على أخر تحديثات لنظام ويندوز المستخدم، وخصوصاً التحديث المتضمن لنشرة Microsoft Security Bulletin MS08-067.

3) استخدام برامج الحماية من الفيروسات (Anti-Virus) والحرص على تحديثها بشكل دوري.

4) الحذر عند فتح الملحقات (Attachments) و الملفات المنقولة والإرتباطات الناقلة لصفحات ويب أخرى. والتأكد من أن الصفحات التي تطلب كلمات المرور تستخدم إحدى طرق تشفير البيانات، وذلك بالتأكد من وجود علامة القفل في أسفل الصفحة.

5) تفادي إستخدام البرمجيات المقرصنة وغير معروفة المصدر.

6) إستخدام كلمات مرور قوية لأجهزة الكمبيوتر والشبكات ( غير قابلة للتنبؤ وتتكون -على الأقل- من 8 خانات مركبة من حروف وأرقام ورموز). لمزيد من المعلومات حول كيفية وضع كلمات المرور، زر الموقع: http://www.microsoft.com/protect/yoursel...eate.mspx.

7) الحذر من هجمات الهندسة الاجتماعية.

قد لا تتمكن الأجهزة المصابة بفيروس كونفيكر من الوصول لبعض مواقع الإنترنت أو الحصول على التحديثات للنظام أو برمجيات كافحة الفيروسات والجدار النارية، لهذا على الشخص استخدام أحد أجهزة الكمبيوتر الغير مصابة بالفيروس وتحميل التحديثات اللازمة ثم نقلها إلى الجهاز المصاب وتشغيلها.



ختاماً، هل يستحق الفيروس كونفيكر الضجة الإعلامية الذي حصل عليها؟. "لكل داء دواء"، و دواء الفيروسات أو البرمجيات الخبيثة بصفة عامة هي الوعي الكافي بأهمية المعلومات والموارد المختلفة التي نملكها - مادياً ومعنوياً، والذي يقودنا إلى الحرص الدائم للمحافظة عليها بتطبيق منهجيات أمن المعلومات من إستخدام الأدوات الصحيحة ووضع السياسات والإلتزام بها. إن مهمة تطبيق منهجيات أمن المعلومات في حياتنا اليومية – الشخصية أو في العمل - قد تكون عملية ثقيلة بعض الشيء، ولكن لن نعرف قيمة الشيء حتى نفقده. وعلينا أن نتذكر دائماً بأن "درهم وقاية خيرٌ من قنطار علاج".


منقول

ادارة سكيورتي العرب


المواضيع المحتمل أن تكون متشابهة .
فيروس دودة ساسر Sasser
فيروس win32/sality
فيروس الفيس بوك Koobface
12-22-2010 08:42 PM
إقتباس هذه الرسالة في الرد
إضافة رد 






سوق العرب | معهد سكيورتى العرب | وظائف خالية © 2024.
Google