هجمة شرسسة من دودة الوين و قليل من التروجانات

هجمة شرسة من دودة الوين وقليل من التروجانات

ظهرت مجموعة جديدة من الفيروسات خلال الايام الماضية بعضها ينتمي إلى التروجانات والبعض الآخر ينتمي لسلسلة دودة win32 الشهيرة.

ونبدأ بالفيروسات مع دودة الوين أجوبوت إي إي وهي دودة شبكة تسمح بالدخول غير المصرح به إلى الكمبيوتر عبر قنوات الـ irc وتقوم بنسخ نفسها على الشبكات المشتركة التي تستخدم كلمات مرور ضعيفة وتحاول الانتشار عبر الحاسبات مستخدمة الاماكن الضعيفة للمرور عبرها وهذه الاماكن الضعيفة تسمح للدودة لتوزع اكوادها على الحاسبات المستهدفة مع امتيازات مستوى النظام.


وهذه الدودة تسقط نفسها داخل نظام مجلد النوافذ ثم تكون اسماء الدخول التالية لتشغل نفسها على نظام البداية:
HKLM/Software/microsoft/Windows/CurrentVersion/Ru
=
HKLM/Software/microsoft/Windows/CurrentVersion/Ru
Loader
=
W32/Agobot-AE attempts to terminate various processes
virus and security software
(e.g SWEEP95.EXE,BLACI ZONEALARM.EXE).

دودة الاجوبوت طورت نفسها لنسخة جديدة لها نفس المواصفات ولكنها علاوة على ما سبق تتسلل عبر الابواب الخلفية.. النسخة المطورة تعرف باجوبوت ايه بي. ايركبوت إم تروجان ابواب خلفية يسمح للمستخدم الخبيث الدخول إلى النظام من اجل التشغيل الاوتوماتيكي حتى يتمكن التروجان من اسقاط نفسه عند بداية الويندوز ويكون اسم مجلد Rpcxlsq23.exeo حيث تكون اسماء الدخول التالية التي تشير إلى الملف:
HKLM/Software/Micosoft//Windows/CurrentVersion/Run
windows up date.
HKLM/Software/Micosoft//Windows/CurrentVersion/Run
windows up date.

ويحاول التروجان الاتصال بخادم iRc متحرك ويلتحق بقناة محددة ليتحكم بهذه الوصلة.

اما دودة الرانديكس فيوجد منها نسختان الاولى هي رانديكس ـ آي والثانية رانديكس كيو وهي تنتمي لدودة الوين 32 وهي دودة شبكات بالاضافة إلى امكانيات الابواب الخلفية التي تسمح بالدخلاء ان ينفذوا ويتحكموا في الكمبيوتر عبر قناة irc.


ودودة الرانديكس تختار عناوين ip بشكل عشوائي وتحاول الاتصال بالشبكات المشتركة مستخدمة كلمات مرور بسيطة واذا نجح الاتصال تحاول الدودة نسخ نفسها على هذه الاماكن المتحركة:
/c$/winnt/system32/musirc4.71.exe
/admin$/system32/musirc4.71.exe


وفي كل مرة تستغل فيها الدودة تحاول الاتصال بخادم irc المتحرك والالتحاق بقناة محددة وحينها تشتغل الدودة في الخلفية كخادم ويستمع المصالح لاوامرها لتنفيذها وعندما تعمل الدودة لاول مرة تنسخ نفسها على مجلد نظام الويندوز وتكون اسماء الدخول التالية:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
/MusIRC (irc.music.com) client=
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
Services/MusIRC (irc.music.com) client=

ظهر كذلك نسختان من دودة دونك هي دي وإي وتشمل دودة شبكات وتروجان ابواب خلفية في نفس الوقت حيث تنسخ نفسها على الشبكات المشتركة ذات كلمات المرور الضعيفة وتحاول ان تنشرها عبر الكمبيوترات باستخدام الاماكن الضعيفة Dcomrpc.

هذه الاماكن الضعيفة تسمح للدودة باستخدام كودها على الاجهزة المستهدفة مع مميزات مستوى النظام وعند تشغيل الدودة لاول مرة تنسخ نفسها على مجلد نظام النوافذ باسم wnetlib.exe,cool.exe وتكون اسماء الدخول التالية وبذلك wntlib.exe يعمل تلقائياً في كل مرة تبدأ فيها النوافذ.

HKLM/SOFTWARE/Microsoft/Windows/Current Versio
Microsoft Sysyem Checkup=wnetlib.exe
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersio
Microsoft Sysyem Checkup=wnetlib.exe
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersio
NT Logging Service=syslog32.exe
(W32/Donk-D fails to copy itself as syslog32.exe)

هذه الدودة تتصل بالحاسبات الاخرى على الشبكة المحلية ذات كلمات المرور الضعيفة وتنسخ نفسها على مجلدات البداية التالية:
/WINNT/Profiles/All Users/Start/Programs/Startup
/WINDOWS/Start Menu/Programs/Startup
/********s and Settings/All Users/Start Menu/programs

من الفيروسات المهمة التي ظهرت ايضاً جايب إف Gibe-f وهي دودة تنشر نفسها عبر البريد الالكتروني حيث تستولي على العناوين الموجودة بدفتر العناوين لتعيد ارسال نفسها مرة اخرى وهكذا وهي تحاول الحصول على معلومات عن المستخدمين باظهار نافذة خطأ مزيفة تطلب فيها ادخال اسم المستخدم وكلمة السر كما ترون في الصورة.

ولو ظهرت الدودة باسم ملف يبدأ باحرف u,q,p او i فسوف تظهر احدى الرسائل التالية:
Microsoft Internet Update Pack
This update does not need to be installed on this system
This will install Microsoft Security Update.
DO yo wish to continue?

وقد تظهر كأنها مجموعة برامج للتحميل باظهار نافذة مزيفة للتحميل تحتوي على هذه الرسالة في شريط العنوان:
Searching for installed.components
Extracting files®®.
Copying files®®.
Updating registry®®.

وفي الوقت الذي تتخيل فيه ان الديبادجر هو الذي سيعمل ستأتي لك رسالة تقول try to pullmy legs مثلما في الصورة.

الدودة ايضاً تغير تسجيلات الدخول لتجعلها كالتالي:
HKCR/exefile/****l/open/command
HKCR/regfile/****l/open/command
HKCR/comfile/****l/open/command
HKCR/batfile/****l/open/command
HKCR/piffile/****l/open/command
HKCR/scfile/****l/open/command
HKCR/scfile/****l/config/command

وبذلك تشتغل قبل ملفات exe، com، pif، Bat، Scr لتظهر بعد ذلك رسالة خطأ مزيفة مثل التي في الصورة.

فيروسات اخرى ظهرت غير ما سبق مثل xfg7/wisab-a وfroj/Bdoor-aagg وw32/in mot ecd-a وw32/spybot-r.

ربي يعطيكي العافية حبيبتي على الموضوع الروعة

دائما تتحفينا بجديدك الرائع والمتميز

تحياااااااااااتي لك يال
غلا