مواضيع عامةمواضيع ومقالات

مقال : خبايا دودة Conficker

تم أرشفة هذا المحتوى


خبايا دودة Conficker الشهيرة, أغلبنا ان لم يكن الجميع قد سمع بهذه الدودة الذي ضربت الكثير من الأجهزة حول العالم والتي سببت قلق كبير للشركات خصوصاً التي تعمل بأنظمة ويندوز وشركات الأمن المعلوماتي.. الغريب في الأمر أن الأغلبية لا يعلم أي شيء عن هذه الدودة وما تعمل, لكن اليوم سوف نتناول طريقة عمل دودة Conficker من خلال بحث صغير قمت به.

الطريف في الأمر أن مبرمجي هذه الدودة يقومون بعمل نسخة/اصدار جديد كل فترة, جعلتني أشعل أنها برنامج أو تطبيق يتم تطويرة كل فترة ليقدم خدمة أفضل,لكن هذه الدودة يتم تطويرها كل فترة لتزيد الضرر أكثر من السابق!!

أولاً يجب أن نعلم أن الدودة معروفة بكثير من الأسماء مثل:

Win32/Conficker.D
Win32/Conficker.C
Win32/Conficker.A
Win32/Conficker.B-Both
W32/Confick-G
Trojan.Win32.Pakes.ngs

وهي تعمل على أغلب اصدارت ويندوز مثل:

Windows 95, 98, 2000, ME, NT, XP, Vista, Server 2003/2008…

لم يتم تجربتها على ويندوز 7 ولكن من المؤكد أنها تعمل علية.

ماتقوم به هذه الدودة الشهيرة هو عمل انهيار للنظام بشكل بطيء فهي تعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) وتقوم بايقاف أغلب الخدمات في نظام ويندوز مثل مدير المهام, الريجستري, حجب أشهر المواقع مثل Google, Yahoo, Facebook, MSB, Microsoft… وبقية المواقع المشهورة وتقوم أيضا بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تظهر لك رسالة تخبرك بأنك ليس متصل بالانترنت, وتقوم بايقاف عمل برامج مكافحة الفيروسات مثل Kaspersky, Norton, Mcafee… بالاضافة لقيامها بتعطيل الجدار الناري الخاص بالويندوز, نظام الحماية والتحديثات التلقائية وتقوم أيضا باستهلاك كبير لموارد الجهاز ولا تستغرب ان رأيت متصفح الانترنت أو أي برنامج آخر قام بتشغيل نفسة تلقائياً وتم الأتصال بأحد المواقع المشهورة..!

تنتشر الدودة بعدة أماكن في نظام ويندوز وتتمركز في المسارات التالية:

بالنسبة لنظام Windows 2000/NT تتمركز في المسار:

C:WinntSystem32

أما في نظام Windows ME/98 والاصدارات الأقدم تتمركز في المسار:

C:WindowsSystem

وأخيرا في نظام Windows XP/Vista/Server في المسار:

C:WindowsSystem32

وتقوم الدودة بنسخ نفسها للمجلدات التالية:

Program FilesWindows NT
Program FilesWindows Media Player
Program FilesInternet Explorer
Program FilesMovie Maker

ملاحظة: المسارات هذه هي المسارات الافتراضية في الويندوز ويمكن تعديلها عند تركيب النظام بواسطة Sys.Admin, لكن هذه الدودة ذكية نوعاً ما فهي لا تعتمد على المسار الأفتراضي بل تعتمد على المسار الموجود فية النظام مثلاً  أن كان النظام على البارتشن D أو غيره وتحتوي الدودة على مولد صغير لتوليد اسماء للملفات فهي في كل مرة تنسخ نفسها باسم مختلف, مما يصعب الأمر على مدير النظام من معرفة أن كان هذا الملف سليم أم لا .. الشيء الثاني أن الدودة تقوم باخفاء الملفات هذه وتغير الـ privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها وتقوم أيضاً بانشاء ملفات و تسجيلات خاصة بها في الـ Registry .. وتنشئ أيضا خدمات خاصة بها بأسماء مختلفة مثل:

App, Audio, DM, ER, Event, help, Ias, Lanman, Net, Ntms, Ras, Remote, W32,win,Wmdm,Serv,Server,Service,Svc…

وعلى سبيل المثال قد تجد للدودة مدخلات في الـ Registry على هذا الشكل:

HKLMSYSTEMCurrentControlSetServicesIrSvcDisplayName = “Component Task”
HKLMSYSTEMCurrentControlSetServicesIrSvcType = 00000020
HKLMSYSTEMCurrentControlSetServicesIrSvcStart = 00000002
HKLMSYSTEMCurrentControlSetServicesIrSvcErrorControl = 00000000
HKLMSYSTEMCurrentControlSetServicesIrSvcImagePath = “%Root%system32svchost.exe -k netsvcs”
HKLMSYSTEMCurrentControlSetServicesIrSvcObjectName = “LocalSystem”
HKLMSYSTEMCurrentControlSetServicesIrSvcDescription = “”
HKLMSYSTEMCurrentControlSetServicesIrSvcParametersServiceDll = “%System%”

كما تقوم الدودة بحذف المجلدات التالية من الـ Registry:

HKLMSoftwareMicrosoftWindowsCurrentVersionexplorerShellServiceObjects{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
HKLMSYSTEMCurrentControlSetControlSafeBoot
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows Defender

فتعطل Windows Security Center بالاضافة لـ Windows Defender وتمنع المستخدم من استخدام الوضع الآمن Safe mode كما تحذف جميع نقاط الاستعادة في نظام ويندوز بحيث تمنع المستخدم من استرجاع وضع النظام لوقت سابق هذا بالاضافة لتعطيل العديد من الخدمات ومنع بعض البرامج من العمل في النظام مثل:

autoruns, confick, downad, filemon, gmer, hotfix, ms08-06, procexp, procmon, regmon, sysclean, tcpview, unlocker, wireshark…

كما تقوم الدودة بأستخدام الـ Windows API’s التالية .. لتراقب اتصالك وتمنعك من تصفح المواقع الحماية:

Query_Main
DnsQuery_W
DnsQuery_UTF8
DnsQuery_A
sendto

بالطبع هيه تقوم بذالك لكي تمنع من متابعة مواقع الأمن المعلوماتي, لمراجعة أخر الأخبار الأمنية, تحميل أدوات أمنية, تحميل التحديثات وتقوم أيضاً بتنقيح الروابط والمواقع التي تحاول فتحها في المتصفح, مثل:

avg.
kav.
msft.
sans.
anti-
avast
conficker
defender
drweb
etrust
f-secure
kaspersky
malware
mcafee
microsoft
nod32
norton
onecar
panda
symantec
wilderssecurity
windowsupdate

وهنا أذا قمت بطلب رابط يحتوي على ماسبق, لن تستطيع المواصلة وسوف يتم منعك من تصفح محتوى الموقع!

أما من يسأل عن سبب هذا الانتشار الكبير للدودة يعود السبب لوجود ثغرة خطيرة تم اكتشافها في نظام ويندوز (MS08-067) تسمح باختراق النظام عن بعد عن طريق استغلال ثغرة Buffer overflow في احدى خدمات النظام, لذلك أنصح بتحديث النظام بأسرع مايمكن وللأسف حتى الأن لا أستطيع أن أقول لكم اعتمدو على مكافح فيروسات معين .. فالدودة تتحدث باستمرار وتقوم بايقاف عمل مضاد الفيروسا

مقالات ذات صلة

‫23 تعليقات

  1. يعطيك ربي الف عافيه على هاي المعلومه الرائعه عن الدوده

    وفعلا لقد اصبت بها ولقد كلفني الكثير لان في بيانات على القرص

    والله يوفقك ياالغالي

  2. موضوع جيد
    وبالفعل هذه الدودة خطيرة جداً فهي تستغل وجود ثغرة في ملف svchost.exe
    وقد اصدرت مايكروسوفت تحديث لإغلاق الثغرة يمكن تحميله من هذا الرابط:
    http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
    كما ان شركات الانتيفيروس اصدرت عدة ادوات لمكافحة هذه الدودة منها:
    أداة Kaspersky
    http://data2.kaspersky-labs.com:8080/special/KKiller_v3.4.1.zip
    شرح استعمالها هنا
    http://support.kaspersky.com/viruses/solutions?qid=208279973
    أداة Symantec
    http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
    أداة Bitdefender
    http://download.bitdefender.com/resources/files/Download/en/anti-downadup.zip
    أداة F-Secure
    ftp://FTP.f-secure.Com/anti-virus/tools/DownadupRemovalTool.zip
    طبعا أهم شي ان جميع هذه الأدوات تستعمل بعد تحميل التحديث من موقع مايكروسوفت
    فجميع هذه الحلول لن تكون ذات فائدة دون تحديث الوندوز
    http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
    بالتوفيق ان شاء الله
    تحياتي

  3. مقالة جميلة تشكر عليها عزيزي .
    يجب على المستخدم الحذر ان يقوم بتصفح الانترنت عبر نظام افتراضي بواسطة بيئة مثل VM و ان لا يقوم بفتح اي ملف مشكوك بامره قبل ان يوم بقطع الاتصال الشبكي بين النظام الحقيقي و النظام الافتراضي Virtual OS ولكن بوجود ادوات تتحقق من سلامة الملف Integrity فإن الكشف عن مثل هذه الدودة بات امرا سهلا ..
    المشكلة تكمن في الوعي الأمني او ما نسميه Security Awareness , لكن هذا لا يعني بان مطوري هذه الدوده مبدعون فعلا .. فالBuffer Overflow هو نقطة ضعف اي نظام ( غير حكومي) .

  4. @ kOuD3LkA
    شكراً لك على الأضافة الجميلة للموضوع :)..

    @ Said Charaf
    أنت تتحدث عن المستخدم المتكمن .. ولكن المستخدم العادي لايعلم بهذا كلة..!

    @ فــادي
    يوفقنا ويوفقك 🙂

    شكراً لكم جميعاً
    مصطفى.

  5. ماشاء الله عليك.. شكرا أخي مصطفى على التقرير الجميل..

    بس شكلك تتكم عن تجربة فعلية وصراع مع هذه الدودة D:

    الحمدلله بالنسبة لي أنا مرتاح من الديدان ومشاكلها, Linux Rules..!

  6. @ Said Charaf
    ولكن ماذا عن ثغرات VMware على سبيل المثال(الأنظمة الافتراضية بشكل عام) يمكن استغلال ثغرة للقفز من الجهار الضيف إلى الجهاز المضيف. استخدام لينكس سيعطيك شعور خادع بالأمن لكنك معرض للمخاطر وإن بشكل أقل. أكثر الطرق أمناً في التصفح هي باستخدام المتصفحات النصية من سطر الأوامر. وهي إن كانت مزعجة في البداية وذلك لكون الشخص غير معتاد عليها.
    ولكن هذه الحلول غير مجدية للأسف مع الناس العاديين.

  7. ماشالله حللت لنا الدودة 🙂

    ولازم اي مستخدم وندز يذوق طعم الديدان والفايروسات D:

    والله يحمينا منهم…

  8. Mustafa Albazy
    بحثك في قمة الروعة .
    آنآ جربت آنزلهآ على الـ VMware .
    بصرآحة قوية جدآ, تمنع دخول موقع المايكروسوفت لمنع الآبديت , تمنع تركيب برآمج الآنتي فايروس جربت اركب avast مانفع و الكاسبر يقول لي آثنآء التثبيت error والنود ثبته بس مورآضي يحدث يقول لي تم التحديث مع آنه مآحدث القآعده . الآدوآت اللي فوق مسحته لآكن فيهآ مشكلة كبيرة 🙂 آنها تفحص الـبارتشن اللي فيه الويندوز فقط :S
    واحيانا ينتقل هو على بارتشين ثاني فلن تستفيد من الآدوات والتحديث
    هآذي آدآة حصلتها في النت

    http://vil.nai.com/vil/conficker_stinger/Stinger_Coficker.exe

    تمسح آقوى 11 فايروس , تورجات
    وآحلى مآفيها انها تمكنك من اخيار البارتشينات وهي الآداة الوحيدة التي آثبتت مفعولهآ .

  9. مرحبا بالفعل هية قوية جداً وذكية في نفس الوقت

    بالمناسبة حاولت الدخول إلى موقعك “http://www.xfaisal.com/”
    وجدتة انة يحتوي على iFrame تقوم بتحميل malware على الجهاز (نضف الموقع قبل أن يتم حضرك من قبل جوجل والبقية) 🙂

    سلام

  10. Anti-Nimda
    klwk.com
    KL Anti-FunLove
    clrav.com

    في الحقيقة ليس لدي معلومات كاملة عنها, ولكن من الاسم
    الاولى انتي نيمدا وتعي مضاد للنيمدا (فايروس, ملوير..الخ)
    ونفس الموضوع مع البقية.

  11. السلام عليكم
    عذرا على الخلط
    ولكن كلكم مشكورين
    والله العظيم أصبحت لما أفتح النت عندي اول موقع افتحه هو isecur1ty و br4v3-h34r7
    لما فيهم من فائدة ومنفعة للجميع
    الف ألف تحية للمشرفين على الموقعين

  12. اخواني انا حاولت اثبت الترقيع علما ان نسخة ويندز اللي استعملها XP3

    لكن لما اثبته يطلعلي

    لايمكن تحديث بيانات الويندوزلان اللغه المثبته على جهازك مختلفه من لغه التحديث

    مادري شالمشكلة ..

  13. “اخواني انا حاولت اثبت الترقيع علما ان نسخة ويندز اللي استعملها XP3
    لكن لما اثبته يطلعلي
    لايمكن تحديث بيانات الويندوزلان اللغه المثبته على جهازك مختلفه من لغه التحديث
    مادري شالمشكلة ..”

    لأن نسختك عربية وانت تحاول تركيب الحزمة الخاصة باللغة الانجليزي!
    ركب النسخة الخاصة باللغة العربية.

  14. السلام عليكم ورحمة الله وبركاته
    بارك الله فيكم وخاصة الأخ مصطفى البازي
    وشكرا للأخ kOuD3LkA على المعلومات القيمة
    و انا الآن فحصة جهازي الحمد لله لا توجد به الدودة الخبيثة
    ممكن يا أخي مصطفى توضحلي ما فائدة هذه البرامج وجدتها في موقع كاسبرسكي
    Anti-Nimda
    klwk.com
    KL Anti-FunLove
    clrav.com
    جزاك الله كل خير أخي.
    صابر ******اللهم صلى على الحبيب المصطفى صلى الله عليه وسلم*****

  15. اخى الكريم واش النظام الافضل غير ويندوز لان جميع مبرمجى تلك الديدان والفيروسات وغيره يعتمدون عل ثغرات الويندوس فهل الافضل هو الابل ام ماذا

  16. في الحقيقة لا نستطيع ان نقول هذا النظام هوا افضل امنياً من النظام ذاك

    برأيي ان كان مستخدم النظام واعي بهذه الامور فلن يكون علية اي خطر

    انا استخدم الويندوز واللينكس من سنين .. واجهت في كلا النظامين مشاكل امنية ولكن كان الحل بسيط جداً وهذا يعود في ان لدي معرفة بهذه الامور.

    وكل شخص لة معرفة في انظمة التشغيل سوف يكون بأمان.

    ولكن بالطبع هناك اختلافات في بعض الانظمة في الوقت الحالي أأمن نظام من رأيي الشخصي هوا Linux and BSD System’s بسبب ان الغالبية العضمى من الديدان والفيروسات تعمل على Windows ثم Mac ثم Linux و BSD ..

  17. بحث رائع جدا ومتألق

    ياجماعة مايكروسف بنطبق عليها المثل تنفخ في قربه مكسوره

    Conficker مشروع إستنساخ لتأسيس أجيال لنفسه فالترقيع بيحل مشاكل لكن مارح يطول

    لكن هو مثل الطاعون إن أصابك فحجر على جهازك وطبق قانون الطوارئ على شبكتك

    الآن شبكات تجارية وغير تجارية لدينا شبه مطبق عليها بعشر طعش أسم ومختلفة التأثير من عائلة الرجال Conficker .

    تعرف حالة الذعر اللي ممكن تتخيلها لو صرحت مايكروسفت أنها لم تجد حل جذري للمشكلة

    حتى الان لذك من الآهون الصمت والترقيع بإستمرار .

    وللعلم ليس كل الأنتي فايروس تقدر تصيد التغيرات الجديده منه .

  18. السلام عليكم،

    أشكرك أخي مصطفى على هذه المعلومات الجيدة،

    أصابت هذه الدودة السيرفر في الشبكة عندي في المؤسسة وأتلفت جميع الأجهزة عن طريقة الانتقال في الشبكة وعشت معها الأمرين والبطء في الأداء والانترنت وحجب عدد كبير من الموقع “تقريبا جميع المواقع ذات العلاقة بالحماية” فهي تقوم بانشاء ما يسمى packet filter driver وهو يقوم بمنع وحجب المواقع بناء على keywords مخصصة ، وما كان الحل إلا بتثبيت التحديثات الأمنية من مايكروسوفت وتنظيف الجهاز بأداة مايكروسوفت Windows Malicious Software Removal Tool وتطبيق ذلك على جميع أجهزة الشبكة.

    أجدد شكري،

    خالص تحياتي،
    أحمد لبد

  19. الحمد الله اتمني ان يبقى نظامي لينكس امن فأنااستعمل لينكس منذوا البدايه لذلك لم اتعرض
    الى اي هجمه من قبل اي فيروس او اختراق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى