| خبايا دودة Conficker |
| الكاتب Mustafa Albazy |
| الأحد, 22 مارس 2009 08:37 |
|
خبايا دودة Conficker الشهيرة, أغلبنا ان لم يكن الجميع قد سمع بهذه الدودة الذي ضربت الكثير من الأجهزة حول العالم والتي سببت قلق كبير للشركات خصوصاً التي تعمل بأنظمة ويندوز وشركات الأمن المعلوماتي.. الغريب في الأمر أن الأغلبية لا يعلم أي شيء عن هذه الدودة وما تعمل, لكن اليوم سوف نتناول طريقة عمل دودة Conficker من خلال بحث صغير قمت به. أولاً يجب أن نعلم أن الدودة معروفة بكثير من الأسماء مثل: Win32/Conficker.D Win32/Conficker.C Win32/Conficker.A Win32/Conficker.B-Both W32/Confick-G Trojan.Win32.Pakes.ngs وهي تعمل على أغلب اصدارت ويندوز مثل: Windows 95, 98, 2000, ME, NT, XP, Vista, Server 2003/2008... لم يتم تجربتها على ويندوز 7 ولكن من المؤكد أنها تعمل علية. ماتقوم به هذه الدودة الشهيرة هو عمل انهيار للنظام بشكل بطيء فهي تعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) وتقوم بايقاف أغلب الخدمات في نظام ويندوز مثل مدير المهام, الريجستري, حجب أشهر المواقع مثل Google, Yahoo, Facebook, MSB, Microsoft... وبقية المواقع المشهورة وتقوم أيضا بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تظهر لك رسالة تخبرك بأنك ليس متصل بالانترنت, وتقوم بايقاف عمل برامج مكافحة الفيروسات مثل Kaspersky, Norton, Mcafee... بالاضافة لقيامها بتعطيل الجدار الناري الخاص بالويندوز, نظام الحماية والتحديثات التلقائية وتقوم أيضا باستهلاك كبير لموارد الجهاز ولا تستغرب ان رأيت متصفح الانترنت أو أي برنامج آخر قام بتشغيل نفسة تلقائياً وتم الأتصال بأحد المواقع المشهورة..! تنتشر الدودة بعدة أماكن في نظام ويندوز وتتمركز في المسارات التالية: بالنسبة لنظام Windows 2000/NT تتمركز في المسار: C:\Winnt\System32 أما في نظام Windows ME/98 والاصدارات الأقدم تتمركز في المسار: C:\Windows\System وأخيرا في نظام Windows XP/Vista/Server في المسار: C:\Windows\System32 وتقوم الدودة بنسخ نفسها للمجلدات التالية: Program Files\Windows NT Program Files\Windows Media Player Program Files\Internet Explorer Program Files\Movie Maker ملاحظة: المسارات هذه هي المسارات الافتراضية في الويندوز ويمكن تعديلها عند تركيب النظام بواسطة Sys.Admin, لكن هذه الدودة ذكية نوعاً ما فهي لا تعتمد على المسار الأفتراضي بل تعتمد على المسار الموجود فية النظام مثلاً أن كان النظام على البارتشن D أو غيره وتحتوي الدودة على مولد صغير لتوليد اسماء للملفات فهي في كل مرة تنسخ نفسها باسم مختلف, مما يصعب الأمر على مدير النظام من معرفة أن كان هذا الملف سليم أم لا .. الشيء الثاني أن الدودة تقوم باخفاء الملفات هذه وتغير الـ privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها وتقوم أيضاً بانشاء ملفات و تسجيلات خاصة بها في الـ Registry .. وتنشئ أيضا خدمات خاصة بها بأسماء مختلفة مثل: App, Audio, DM, ER, Event, help, Ias, Lanman, Net, Ntms, Ras, Remote, W32,win,Wmdm,Serv,Server,Service,Svc... وعلى سبيل المثال قد تجد للدودة مدخلات في الـ Registry على هذا الشكل: HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\DisplayName = "Component Task" HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020 HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002 HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ErrorControl = 00000000 HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ImagePath = "%Root%\system32\svchost.exe -k netsvcs" HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ObjectName = "LocalSystem" HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Description = "" HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Parameters\ServiceDll = "%System%\" كما تقوم الدودة بحذف المجلدات التالية من الـ Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender فتعطل Windows Security Center بالاضافة لـ Windows Defender وتمنع المستخدم من استخدام الوضع الآمن Safe mode كما تحذف جميع نقاط الاستعادة في نظام ويندوز بحيث تمنع المستخدم من استرجاع وضع النظام لوقت سابق هذا بالاضافة لتعطيل العديد من الخدمات ومنع بعض البرامج من العمل في النظام مثل: autoruns, confick, downad, filemon, gmer, hotfix, ms08-06, procexp, procmon, regmon, sysclean, tcpview, unlocker, wireshark... كما تقوم الدودة بأستخدام الـ Windows API's التالية .. لتراقب اتصالك وتمنعك من تصفح المواقع الحماية: Query_Main DnsQuery_W DnsQuery_UTF8 DnsQuery_A sendto بالطبع هيه تقوم بذالك لكي تمنع من متابعة مواقع الأمن المعلوماتي, لمراجعة أخر الأخبار الأمنية, تحميل أدوات أمنية, تحميل التحديثات وتقوم أيضاً بتنقيح الروابط والمواقع التي تحاول فتحها في المتصفح, مثل: avg. kav. msft. sans. anti- avast conficker defender drweb etrust f-secure kaspersky malware mcafee microsoft nod32 norton onecar panda symantec wilderssecurity windowsupdate وهنا أذا قمت بطلب رابط يحتوي على ماسبق, لن تستطيع المواصلة وسوف يتم منعك من تصفح محتوى الموقع! أما من يسأل عن سبب هذا الانتشار الكبير للدودة يعود السبب لوجود ثغرة خطيرة تم اكتشافها في نظام ويندوز (MS08-067) تسمح باختراق النظام عن بعد عن طريق استغلال ثغرة Buffer overflow في احدى خدمات النظام, لذلك أنصح بتحديث النظام بأسرع مايمكن وللأسف حتى الأن لا أستطيع أن أقول لكم اعتمدو على مكافح فيروسات معين .. فالدودة تتحدث باستمرار وتقوم بايقاف عمل مضاد الفيروسات وتمنع تحديثه! ولكن ان رأيت في الجهاز شيء من ماقيل سابقاً, عليك أن تتأكد من سلامة الجهاز.. فالأمر خطير ولا يستهان به. أطيب تحية, مصطفى البازي. التعليقات (23)
  أرسلت بواسطة: kOuD3LkA في March 23, 2009
موضوع جيد
وبالفعل هذه الدودة خطيرة جداً فهي تستغل وجود ثغرة في ملف svchost.exe وقد اصدرت مايكروسوفت تحديث لإغلاق الثغرة يمكن تحميله من هذا الرابط: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx كما ان شركات الانتيفيروس اصدرت عدة ادوات لمكافحة هذه الدودة منها: أداة Kaspersky http://data2.kaspersky-labs.com:8080/special/KKiller_v3.4.1.zip شرح استعمالها هنا http://support.kaspersky.com/viruses/solutions?qid=208279973 أداة Symantec http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe أداة Bitdefender http://download.bitdefender.com/resources/files/Download/en/anti-downadup.zip أداة F-Secure ftp://FTP.f-secure.Com/anti-virus/tools/DownadupRemovalTool.zip طبعا أهم شي ان جميع هذه الأدوات تستعمل بعد تحميل التحديث من موقع مايكروسوفت فجميع هذه الحلول لن تكون ذات فائدة دون تحديث الوندوز http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx بالتوفيق ان شاء الله تحياتي
 أرسلت بواسطة: Said Charaf في March 23, 2009
مقالة جميلة تشكر عليها عزيزي .
يجب على المستخدم الحذر ان يقوم بتصفح الانترنت عبر نظام افتراضي بواسطة بيئة مثل VM و ان لا يقوم بفتح اي ملف مشكوك بامره قبل ان يوم بقطع الاتصال الشبكي بين النظام الحقيقي و النظام الافتراضي Virtual OS ولكن بوجود ادوات تتحقق من سلامة الملف Integrity فإن الكشف عن مثل هذه الدودة بات امرا سهلا .. المشكلة تكمن في الوعي الأمني او ما نسميه Security Awareness , لكن هذا لا يعني بان مطوري هذه الدوده مبدعون فعلا .. فالBuffer Overflow هو نقطة ضعف اي نظام ( غير حكومي) .
 أرسلت بواسطة: Mustafa Albazy في March 23, 2009
@ kOuD3LkA
شكراً لك على الأضافة الجميلة للموضوع :).. @ Said Charaf أنت تتحدث عن المستخدم المتكمن .. ولكن المستخدم العادي لايعلم بهذا كلة..! @ فــادي يوفقنا ويوفقك :) شكراً لكم جميعاً مصطفى.
 أرسلت بواسطة: عبدالمهيمن في March 24, 2009
ماشاء الله عليك.. شكرا أخي مصطفى على التقرير الجميل..
بس شكلك تتكم عن تجربة فعلية وصراع مع هذه الدودة D: الحمدلله بالنسبة لي أنا مرتاح من الديدان ومشاكلها, Linux Rules..!
 أرسلت بواسطة: باحث عن المعرفة في March 24, 2009
@ Said Charaf
ولكن ماذا عن ثغرات VMware على سبيل المثال(الأنظمة الافتراضية بشكل عام) يمكن استغلال ثغرة للقفز من الجهار الضيف إلى الجهاز المضيف. استخدام لينكس سيعطيك شعور خادع بالأمن لكنك معرض للمخاطر وإن بشكل أقل. أكثر الطرق أمناً في التصفح هي باستخدام المتصفحات النصية من سطر الأوامر. وهي إن كانت مزعجة في البداية وذلك لكون الشخص غير معتاد عليها. ولكن هذه الحلول غير مجدية للأسف مع الناس العاديين.
 أرسلت بواسطة: SuLt4n في March 24, 2009
ماشالله حللت لنا الدودة :)
ولازم اي مستخدم وندز يذوق طعم الديدان والفايروسات D: والله يحمينا منهم...
 أرسلت بواسطة: XFAISAL في March 28, 2009
Mustafa Albazy
بحثك في قمة الروعة . آنآ جربت آنزلهآ على الـ VMware . بصرآحة قوية جدآ, تمنع دخول موقع المايكروسوفت لمنع الآبديت , تمنع تركيب برآمج الآنتي فايروس جربت اركب avast مانفع و الكاسبر يقول لي آثنآء التثبيت error والنود ثبته بس مورآضي يحدث يقول لي تم التحديث مع آنه مآحدث القآعده . الآدوآت اللي فوق مسحته لآكن فيهآ مشكلة كبيرة :) آنها تفحص الـبارتشن اللي فيه الويندوز فقط :S واحيانا ينتقل هو على بارتشين ثاني فلن تستفيد من الآدوات والتحديث هآذي آدآة حصلتها في النت http://vil.nai.com/vil/conficker_stinger/Stinger_Coficker.exe تمسح آقوى 11 فايروس , تورجات وآحلى مآفيها انها تمكنك من اخيار البارتشينات وهي الآداة الوحيدة التي آثبتت مفعولهآ .
أرسلت بواسطة: Mustafa Albazy في March 28, 2009
مرحبا بالفعل هية قوية جداً وذكية في نفس الوقت
بالمناسبة حاولت الدخول إلى موقعك "http://www.xfaisal.com/" وجدتة انة يحتوي على iFrame تقوم بتحميل malware على الجهاز (نضف الموقع قبل أن يتم حضرك من قبل جوجل والبقية) :) سلام
أرسلت بواسطة: XFAISAL في March 31, 2009
توجد مشكلة مع المستضيف الحالي وان شاء الله بنقل الاستضافة قريبا ومشكور ع التنبيه
 أرسلت بواسطة: k.n في April 01, 2009
Mustafa Albazy
الف شكر لك يا الغالي على الشرح الجميل البارتشينات
 أرسلت بواسطة: saber في April 02, 2009
السلام عليكم ورحمة الله وبركاته
بارك الله فيكم وخاصة الأخ مصطفى البازي وشكرا للأخ kOuD3LkA على المعلومات القيمة و انا الآن فحصة جهازي الحمد لله لا توجد به الدودة الخبيثة ممكن يا أخي مصطفى توضحلي ما فائدة هذه البرامج وجدتها في موقع كاسبرسكي Anti-Nimda klwk.com KL Anti-FunLove clrav.com جزاك الله كل خير أخي. صابر ******اللهم صلى على الحبيب المصطفى صلى الله عليه وسلم*****
أرسلت بواسطة: عبدالمهيمن في April 02, 2009
أخي لقد قمت بتعديل تعليقك فالأخ مصطفى البازي هو كاتب الموضوع وليس أنا :)
أرسلت بواسطة: Mustafa Albazy في April 03, 2009
Anti-Nimda
klwk.com KL Anti-FunLove clrav.com في الحقيقة ليس لدي معلومات كاملة عنها, ولكن من الاسم الاولى انتي نيمدا وتعي مضاد للنيمدا (فايروس, ملوير..الخ) ونفس الموضوع مع البقية.
أرسلت بواسطة: saber في April 03, 2009
السلام عليكم
عذرا على الخلط ولكن كلكم مشكورين والله العظيم أصبحت لما أفتح النت عندي اول موقع افتحه هو isecur1ty و br4v3-h34r7 لما فيهم من فائدة ومنفعة للجميع الف ألف تحية للمشرفين على الموقعين
 أرسلت بواسطة: .@L1'A@J في April 03, 2009
اخواني انا حاولت اثبت الترقيع علما ان نسخة ويندز اللي استعملها XP3
لكن لما اثبته يطلعلي لايمكن تحديث بيانات الويندوزلان اللغه المثبته على جهازك مختلفه من لغه التحديث مادري شالمشكلة ..
أرسلت بواسطة: Mustafa Albazy في April 03, 2009
"اخواني انا حاولت اثبت الترقيع علما ان نسخة ويندز اللي استعملها XP3
لكن لما اثبته يطلعلي لايمكن تحديث بيانات الويندوزلان اللغه المثبته على جهازك مختلفه من لغه التحديث مادري شالمشكلة .." لأن نسختك عربية وانت تحاول تركيب الحزمة الخاصة باللغة الانجليزي! ركب النسخة الخاصة باللغة العربية.
 أرسلت بواسطة: hossam في April 19, 2009
اخى الكريم واش النظام الافضل غير ويندوز لان جميع مبرمجى تلك الديدان والفيروسات وغيره يعتمدون عل ثغرات الويندوس فهل الافضل هو الابل ام ماذا
أرسلت بواسطة: Mustafa Albazy في April 22, 2009
في الحقيقة لا نستطيع ان نقول هذا النظام هوا افضل امنياً من النظام ذاك
برأيي ان كان مستخدم النظام واعي بهذه الامور فلن يكون علية اي خطر انا استخدم الويندوز واللينكس من سنين .. واجهت في كلا النظامين مشاكل امنية ولكن كان الحل بسيط جداً وهذا يعود في ان لدي معرفة بهذه الامور. وكل شخص لة معرفة في انظمة التشغيل سوف يكون بأمان. ولكن بالطبع هناك اختلافات في بعض الانظمة في الوقت الحالي أأمن نظام من رأيي الشخصي هوا Linux and BSD System's بسبب ان الغالبية العضمى من الديدان والفيروسات تعمل على Windows ثم Mac ثم Linux و BSD ..
 أرسلت بواسطة: ابن الصغو في April 24, 2009
بحث رائع جدا ومتألق
ياجماعة مايكروسف بنطبق عليها المثل تنفخ في قربه مكسوره Conficker مشروع إستنساخ لتأسيس أجيال لنفسه فالترقيع بيحل مشاكل لكن مارح يطول لكن هو مثل الطاعون إن أصابك فحجر على جهازك وطبق قانون الطوارئ على شبكتك الآن شبكات تجارية وغير تجارية لدينا شبه مطبق عليها بعشر طعش أسم ومختلفة التأثير من عائلة الرجال Conficker . تعرف حالة الذعر اللي ممكن تتخيلها لو صرحت مايكروسفت أنها لم تجد حل جذري للمشكلة حتى الان لذك من الآهون الصمت والترقيع بإستمرار . وللعلم ليس كل الأنتي فايروس تقدر تصيد التغيرات الجديده منه .
 أرسلت بواسطة: أحمد لبد في June 24, 2009
السلام عليكم،
أشكرك أخي مصطفى على هذه المعلومات الجيدة، أصابت هذه الدودة السيرفر في الشبكة عندي في المؤسسة وأتلفت جميع الأجهزة عن طريقة الانتقال في الشبكة وعشت معها الأمرين والبطء في الأداء والانترنت وحجب عدد كبير من الموقع "تقريبا جميع المواقع ذات العلاقة بالحماية" فهي تقوم بانشاء ما يسمى packet filter driver وهو يقوم بمنع وحجب المواقع بناء على keywords مخصصة ، وما كان الحل إلا بتثبيت التحديثات الأمنية من مايكروسوفت وتنظيف الجهاز بأداة مايكروسوفت Windows Malicious Software Removal Tool وتطبيق ذلك على جميع أجهزة الشبكة. أجدد شكري، خالص تحياتي، أحمد لبد
 أرسلت بواسطة: عكسي في June 25, 2009
الحمد الله اتمني ان يبقى نظامي لينكس امن فأنااستعمل لينكس منذوا البدايه لذلك لم اتعرض
الى اي هجمه من قبل اي فيروس او اختراق
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
| آخر تحديث: الخميس, 30 أبريل 2009 23:05 |
وفعلا لقد اصبت بها ولقد كلفني الكثير لان في بيانات على القرص
والله يوفقك ياالغالي