السلام عليكم ورحمة الله وبركاته
منذ فتره وأنا تعبااان مره سبب مشكلتي لا أدري وجرت كل المضادات الفيروسات لكن دون جدوى تعبتكم معااي يا أعضاء المنتدى الغاليين على قلبي ولكن وجدت العلة التي شاغلتيني في الشبكة ومروعة حالي وبالي وتاعبتنا وشاغلتنا هذه مشكلتي أرجواا لها الحل منكم من اكثر من عضو
المعطيات التي معاي : شبكة مكونه من 20 جهاز تعمل على نظام الند للند بدون سيرفر
المشكلة وجدتها في أحدى المواقع بعد ما شقت نفسي أرجوا ان تتمعنون كل كلمه وتجدون الحل أنا واثق كل الثقه منكم لإيجاد الحل .
خبايا دودة Conficker الشهيرة, أغلبنا ان لم يكن الجميع قد سمع بهذه الدودة الذي ضربت الكثير من الأجهزة حول العالم والتي سببت قلق كبير للشركات خصوصاً التي تعمل بأنظمة ويندوز وشركات الأمن المعلوماتي.. الغريب في الأمر أن الأغلبية لا يعلم أي شيء عن هذه الدودة وما تعمل, لكن اليوم سوف نتناول طريقة عمل دودة Conficker من خلال بحث صغير قمت به.
وهي تعمل على أغلب اصدارت ويندوز مثل:
لم يتم تجربتها على ويندوز 7 ولكن من المؤكد أنها تعمل علية.
ماتقوم به هذه الدودة الشهيرة هو عمل انهيار للنظام بشكل بطيء فهي تعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) وتقوم بايقاف أغلب الخدمات في نظام ويندوز مثل مدير المهام, الريجستري, حجب أشهر المواقع مثل Google, Yahoo, Facebook, MSB, Microsoft... وبقية المواقع المشهورة وتقوم أيضا بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تظهر لك رسالة تخبرك بأنك ليس متصل بالانترنت, وتقوم بايقاف عمل برامج مكافحة الفيروسات مثل Kaspersky, Norton, Mcafee... بالاضافة لقيامها بتعطيل الجدار الناري الخاص بالويندوز, نظام الحماية والتحديثات التلقائية وتقوم أيضا باستهلاك كبير لموارد الجهاز ولا تستغرب ان رأيت متصفح الانترنت أو أي برنامج آخر قام بتشغيل نفسة تلقائياً وتم الأتصال بأحد المواقع المشهورة..!
تنتشر الدودة بعدة أماكن في نظام ويندوز وتتمركز في المسارات التالية:
بالنسبة لنظام Windows 2000/NT تتمركز في المسار:
أما في نظام Windows ME/98 والاصدارات الأقدم تتمركز في المسار:
وأخيرا في نظام Windows XP/Vista/Server في المسار:
وتقوم الدودة بنسخ نفسها للمجلدات التالية:
ملاحظة: المسارات هذه هي المسارات الافتراضية في الويندوز ويمكن تعديلها عند تركيب النظام بواسطة Sys.Admin, لكن هذه الدودة ذكية نوعاً ما فهي لا تعتمد على المسار الأفتراضي بل تعتمد على المسار الموجود فية النظام مثلاً أن كان النظام على البارتشن D أو غيره وتحتوي الدودة على مولد صغير لتوليد اسماء للملفات فهي في كل مرة تنسخ نفسها باسم مختلف, مما يصعب الأمر على مدير النظام من معرفة أن كان هذا الملف سليم أم لا .. الشيء الثاني أن الدودة تقوم باخفاء الملفات هذه وتغير ال privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها وتقوم أيضاً بانشاء ملفات و تسجيلات خاصة بها في ال Registry .. وتنشئ أيضا خدمات خاصة بها بأسماء مختلفة مثل:
وعلى سبيل المثال قد تجد للدودة مدخلات في ال Registry على هذا الشكل:
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Displ ayName = "Component Task"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Error Control = 00000000
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Image Path = "%Root%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Objec tName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Descr iption = ""
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Param eters\ServiceDll = "%System%\"
كما تقوم الدودة بحذف المجلدات التالية من ال Registry:
فتعطل Windows Security Center بالاضافة ل Windows Defender وتمنع المستخدم من استخدام الوضع الآمن Safe mode كما تحذف جميع نقاط الاستعادة في نظام ويندوز بحيث تمنع المستخدم من استرجاع وضع النظام لوقت سابق هذا بالاضافة لتعطيل العديد من الخدمات ومنع بعض البرامج من العمل في النظام مثل:
autoruns, confick, downad, filemon, gmer, hotfix, ms08-06, procexp, procmon, regmon, sysclean, tcpview, unlocker, wireshark...
كما تقوم الدودة بأستخدام ال Windows API's التالية .. لتراقب اتصالك وتمنعك من تصفح المواقع الحماية:
بالطبع هيه تقوم بذالك لكي تمنع من متابعة مواقع الأمن المعلوماتي, لمراجعة أخر الأخبار الأمنية, تحميل أدوات أمنية, تحميل التحديثات وتقوم أيضاً بتنقيح الروابط والمواقع التي تحاول فتحها في المتصفح, مثل:
وهنا أذا قمت بطلب رابط يحتوي على ماسبق, لن تستطيع المواصلة وسوف يتم منعك من تصفح محتوى الموقع!
أما من يسأل عن سبب هذا الانتشار الكبير للدودة يعود السبب لوجود ثغرة خطيرة تم اكتشافها في نظام ويندوز (MS08-067) تسمح باختراق النظام عن بعد عن طريق استغلال ثغرة Buffer overflow في احدى خدمات النظام, لذلك أنصح بتحديث النظام بأسرع مايمكن وللأسف حتى الأن لا أستطيع أن أقول لكم اعتمدو على مكافح فيروسات معين .. فالدودة تتحدث باستمرار وتقوم بايقاف عمل مضاد الفيروسات وتمنع تحديثه! ولكن ان رأيت في الجهاز شيء من ماقيل سابقاً, عليك أن تتأكد من سلامة الجهاز.. فالأمر خطير ولا يستهان به.
فيجب عليك حماية نفسك وتحديث جهازك واغلاق هذة الثغرة بالسرعه الممكنه
Microsoft Security Bulletin MS06-040
Security Update for Windows XP KB921883
صفحة التحميل
__________________________________________________ ______________
وانصح الجميع بتحميل
Symantec AntiVirus Corporate Edition
التحميل من هنا
بالاضافة الى اداة ازاله ال worm وهي قوية جداً
التحميل من هنا
كثير من الاعضاء هنا مقتنعون فقط بكاسبر انتي فايروس
لكنه ليس بقوة سيمانتك
وساثبت لكم ذلك بتحميل عدة فايروسات
وقوموا بفحصها عن طريق الكاسبر
لن يتعرف عليها وسيعطيك انه مجرد ملف تنفيذي عادي exe
بالاضافة انه لم يستطيع التخلص من اخطر فايروس وهو Win32/Sality
حيث يقوم بازالته بشكل مؤقت وعندما تعيد تشغيل الجهاز يقوم بالعودة لجهازك
حاولت ايقاف خاصية system restore لتفادي هذة المشكلة ونجح الامر
الا انه بهذة الطريقة لا استطيع عمل نقطه مرجيع system restore point
ارجوا اني قد قدمت لكم المساعدة قبل حدوث المصائب
دمتم بالف خير
منذ فتره وأنا تعبااان مره سبب مشكلتي لا أدري وجرت كل المضادات الفيروسات لكن دون جدوى تعبتكم معااي يا أعضاء المنتدى الغاليين على قلبي ولكن وجدت العلة التي شاغلتيني في الشبكة ومروعة حالي وبالي وتاعبتنا وشاغلتنا هذه مشكلتي أرجواا لها الحل منكم من اكثر من عضو
المعطيات التي معاي : شبكة مكونه من 20 جهاز تعمل على نظام الند للند بدون سيرفر
المشكلة وجدتها في أحدى المواقع بعد ما شقت نفسي أرجوا ان تتمعنون كل كلمه وتجدون الحل أنا واثق كل الثقه منكم لإيجاد الحل .
خبايا دودة Conficker الشهيرة, أغلبنا ان لم يكن الجميع قد سمع بهذه الدودة الذي ضربت الكثير من الأجهزة حول العالم والتي سببت قلق كبير للشركات خصوصاً التي تعمل بأنظمة ويندوز وشركات الأمن المعلوماتي.. الغريب في الأمر أن الأغلبية لا يعلم أي شيء عن هذه الدودة وما تعمل, لكن اليوم سوف نتناول طريقة عمل دودة Conficker من خلال بحث صغير قمت به.
الطريف في الأمر أن مبرمجي هذه الدودة يقومون بعمل نسخة/اصدار جديد كل فترة, جعلتني أشعل أنها برنامج أو تطبيق يتم تطويرة كل فترة ليقدم خدمة أفضل,لكن هذه الدودة يتم تطويرها كل فترة لتزيد الضرر أكثر من السابق!!
أولاً يجب أن نعلم أن الدودة معروفة بكثير من الأسماء مثل:
أولاً يجب أن نعلم أن الدودة معروفة بكثير من الأسماء مثل:
Win32/Conficker.D
Win32/Conficker.C
Win32/Conficker.A
Win32/Conficker.B-Both
W32/Confick-G
Trojan.Win32.Pakes.ngs
Win32/Conficker.C
Win32/Conficker.A
Win32/Conficker.B-Both
W32/Confick-G
Trojan.Win32.Pakes.ngs
وهي تعمل على أغلب اصدارت ويندوز مثل:
Windows 95, 98, 2000, ME, NT, XP, Vista, Server 2003/2008...
لم يتم تجربتها على ويندوز 7 ولكن من المؤكد أنها تعمل علية.
ماتقوم به هذه الدودة الشهيرة هو عمل انهيار للنظام بشكل بطيء فهي تعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) وتقوم بايقاف أغلب الخدمات في نظام ويندوز مثل مدير المهام, الريجستري, حجب أشهر المواقع مثل Google, Yahoo, Facebook, MSB, Microsoft... وبقية المواقع المشهورة وتقوم أيضا بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تظهر لك رسالة تخبرك بأنك ليس متصل بالانترنت, وتقوم بايقاف عمل برامج مكافحة الفيروسات مثل Kaspersky, Norton, Mcafee... بالاضافة لقيامها بتعطيل الجدار الناري الخاص بالويندوز, نظام الحماية والتحديثات التلقائية وتقوم أيضا باستهلاك كبير لموارد الجهاز ولا تستغرب ان رأيت متصفح الانترنت أو أي برنامج آخر قام بتشغيل نفسة تلقائياً وتم الأتصال بأحد المواقع المشهورة..!
تنتشر الدودة بعدة أماكن في نظام ويندوز وتتمركز في المسارات التالية:
بالنسبة لنظام Windows 2000/NT تتمركز في المسار:
C:\Winnt\System32
أما في نظام Windows ME/98 والاصدارات الأقدم تتمركز في المسار:
C:\Windows\System
وأخيرا في نظام Windows XP/Vista/Server في المسار:
C:\Windows\System32
وتقوم الدودة بنسخ نفسها للمجلدات التالية:
Program Files\Windows NT
Program Files\Windows Media Player
Program Files\Internet Explorer
Program Files\Movie Maker
Program Files\Windows Media Player
Program Files\Internet Explorer
Program Files\Movie Maker
ملاحظة: المسارات هذه هي المسارات الافتراضية في الويندوز ويمكن تعديلها عند تركيب النظام بواسطة Sys.Admin, لكن هذه الدودة ذكية نوعاً ما فهي لا تعتمد على المسار الأفتراضي بل تعتمد على المسار الموجود فية النظام مثلاً أن كان النظام على البارتشن D أو غيره وتحتوي الدودة على مولد صغير لتوليد اسماء للملفات فهي في كل مرة تنسخ نفسها باسم مختلف, مما يصعب الأمر على مدير النظام من معرفة أن كان هذا الملف سليم أم لا .. الشيء الثاني أن الدودة تقوم باخفاء الملفات هذه وتغير ال privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها وتقوم أيضاً بانشاء ملفات و تسجيلات خاصة بها في ال Registry .. وتنشئ أيضا خدمات خاصة بها بأسماء مختلفة مثل:
App, Audio, DM, ER, Event, help, Ias, Lanman, Net, Ntms, Ras, Remote, W32,win,Wmdm,Serv,Server,Service,Svc...
وعلى سبيل المثال قد تجد للدودة مدخلات في ال Registry على هذا الشكل:
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Displ ayName = "Component Task"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Error Control = 00000000
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Image Path = "%Root%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Objec tName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Descr iption = ""
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Param eters\ServiceDll = "%System%\"
كما تقوم الدودة بحذف المجلدات التالية من ال Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\exp lorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Windows Defender
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Windows Defender
فتعطل Windows Security Center بالاضافة ل Windows Defender وتمنع المستخدم من استخدام الوضع الآمن Safe mode كما تحذف جميع نقاط الاستعادة في نظام ويندوز بحيث تمنع المستخدم من استرجاع وضع النظام لوقت سابق هذا بالاضافة لتعطيل العديد من الخدمات ومنع بعض البرامج من العمل في النظام مثل:
autoruns, confick, downad, filemon, gmer, hotfix, ms08-06, procexp, procmon, regmon, sysclean, tcpview, unlocker, wireshark...
كما تقوم الدودة بأستخدام ال Windows API's التالية .. لتراقب اتصالك وتمنعك من تصفح المواقع الحماية:
Query_Main
DnsQuery_W
DnsQuery_UTF8
DnsQuery_A
sendto
DnsQuery_W
DnsQuery_UTF8
DnsQuery_A
sendto
بالطبع هيه تقوم بذالك لكي تمنع من متابعة مواقع الأمن المعلوماتي, لمراجعة أخر الأخبار الأمنية, تحميل أدوات أمنية, تحميل التحديثات وتقوم أيضاً بتنقيح الروابط والمواقع التي تحاول فتحها في المتصفح, مثل:
avg.
kav.
msft.
sans.
anti-
avast
conficker
defender
drweb
etrust
f-secure
kaspersky
malware
mcafee
microsoft
nod32
norton
onecar
panda
symantec
wilderssecurity
windowsupdate
kav.
msft.
sans.
anti-
avast
conficker
defender
drweb
etrust
f-secure
kaspersky
malware
mcafee
microsoft
nod32
norton
onecar
panda
symantec
wilderssecurity
windowsupdate
وهنا أذا قمت بطلب رابط يحتوي على ماسبق, لن تستطيع المواصلة وسوف يتم منعك من تصفح محتوى الموقع!
أما من يسأل عن سبب هذا الانتشار الكبير للدودة يعود السبب لوجود ثغرة خطيرة تم اكتشافها في نظام ويندوز (MS08-067) تسمح باختراق النظام عن بعد عن طريق استغلال ثغرة Buffer overflow في احدى خدمات النظام, لذلك أنصح بتحديث النظام بأسرع مايمكن وللأسف حتى الأن لا أستطيع أن أقول لكم اعتمدو على مكافح فيروسات معين .. فالدودة تتحدث باستمرار وتقوم بايقاف عمل مضاد الفيروسات وتمنع تحديثه! ولكن ان رأيت في الجهاز شيء من ماقيل سابقاً, عليك أن تتأكد من سلامة الجهاز.. فالأمر خطير ولا يستهان به.
فيجب عليك حماية نفسك وتحديث جهازك واغلاق هذة الثغرة بالسرعه الممكنه
Microsoft Security Bulletin MS06-040
Security Update for Windows XP KB921883
صفحة التحميل
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
__________________________________________________ ______________
وانصح الجميع بتحميل
Symantec AntiVirus Corporate Edition
التحميل من هنا
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
بالاضافة الى اداة ازاله ال worm وهي قوية جداً
التحميل من هنا
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
كثير من الاعضاء هنا مقتنعون فقط بكاسبر انتي فايروس
لكنه ليس بقوة سيمانتك
وساثبت لكم ذلك بتحميل عدة فايروسات
وقوموا بفحصها عن طريق الكاسبر
لن يتعرف عليها وسيعطيك انه مجرد ملف تنفيذي عادي exe
بالاضافة انه لم يستطيع التخلص من اخطر فايروس وهو Win32/Sality
حيث يقوم بازالته بشكل مؤقت وعندما تعيد تشغيل الجهاز يقوم بالعودة لجهازك
حاولت ايقاف خاصية system restore لتفادي هذة المشكلة ونجح الامر
الا انه بهذة الطريقة لا استطيع عمل نقطه مرجيع system restore point
ارجوا اني قد قدمت لكم المساعدة قبل حدوث المصائب
دمتم بالف خير
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
