النتائج 1 إلى 12 من 12

الموضوع: ترقبوا يوم غد: الأول من إبريل - دودة confiker

  1. #1
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    ترقبوا يوم غد: الأول من إبريل - دودة confiker



    إخواني أعضاء عرب هاردوير...

    غداً الأربعاء الموافق الأول من إبريل 2009 هو اليوم الذي ستأخذ فيه دودة confiker شكلها الجديد والذي يمكن أيضاً فيه أن تتلقى إشارة البدء بالعمل.

    لمن لا يعرف عن الدودة:

    هذه الدودة تصيب انظمة الويندوز فقط...وتحديداً النسخ المقرصنة أو الأنظمة التي لم يقم أصحابها بعمل أي تحديث لها.

    بدء انتشار الدودة في شهر سبتمبر الماضي وأخذت من ذلك التاريخ 3 أشكال الشكل الأخير المعروف ب C استخدم خوازمية هاش متقدمة جدّاً وجديدة جداً وهي md6 وذلك من اجل التأكد من انه لم يتم التلاعب بها. يقدر عدد الأجهزة المصابة بمليون إلى ثلاثة ملايين جهاز.

    تقوم الدودة وفق خوارزمية معيّنة بالإتصال ب خمسين ألف دومين نعم 50000 دومين طبعاً ليس في نفس الوقت وإنما يومياً تقوم بتسجيل 250 دومين منذ يوم إطلاقها إلى اليوم وتتصل بهذه الدومينات للحصول على أوامر.

    حتى الآن لم تقم الدودة بتلقي الأوامر وما هو معروف للباحثين أنها ستقوم بتغير نشاطها يوم الأربعاء القادم الأكيد حتى اللحظة أن عدد الدومينات التي ستقوم الدودة بتسجيلها هي 500 يومياً بدل من 250. ولكن لا يعرف بعد بشكل أكيد إذا ما سيتم إطلاقها بشكل كامل يوم الأربعاء أم لا.

    حتى يومنا هذه تعدّ هذه الدودة هي أخطر هجوم تتعرض له الإنترنت. ولهذا قامت مجموعة من كبرى شركات مكافحة الفيروسات ومسجّلي الإنترنت وشركة مايكروسوف بإنشاء خلية نحل تعمل على مدار الساعة لإحتواء خطر الدودة.

    كيف تعرف أنّك مصاب؟

    بعض أشكال الدودة وتحديداً الأخير منها لن تسمح للجهاز المصاب بالوصول إلى أي من مواقع شركات الحماية أو موقع شركة مايكروسوفت.

    هناك أيضاً تم إنشاء مواسح شبكة من أجل فحص جميع الأجهزة والتأكد من سلامتها.

    عناوين مهمّة:

    مايكروسوفت

    وصلة تنزيل أداة إزالة الدودة وفحص الحاسب Online
    http://www.microsoft.com/security/ma...e/default.mspx


    تعليمات الإزالة
    Microsoft: http://support.microsoft.com/kb/962007
    Kaspersky: support.kaspersky.com/faq/
    BitDefender: http://www.bitdefender.com/VIRUS-100...nadup.Gen.html
    TrendMicro: http://www.trendmicro.com/vinfo/viru...o/default5.asp
    Sophos: http://www.sophos.com/support/knowle...cle/51416.html


    أدوات الإزالة
    Microsoft MSRT: http://www.microsoft.com/security/ma...e/default.mspx
    F-Secure: ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
    AhnLab: http://global.ahnlab.com/global/file...3conficker.zip
    Symantec: http://www.symantec.com/business/sec...011316-0247-99
    McAfee: http://vil.nai.com/vil/stinger/
    ESET: download.eset.com/special/EConfickerRemover.exe
    BitDefender: http://www.bdtools.net/
    Kaspersky: http://data2.kaspersky-labs.com:8080...ler_v3.3.3.zip
    TrendMicro: https://securecloud.com/support/sysclean
    Sophos: secure.sophos.com/products/free-tools/conficker-removal-tool-network/download التسجيل مطلوب



    القيام بعملية مسح للشبكة من اجل اكتشاف الاجهزة المصابة باستخدام nmap الإصدارة الجديدة البيتا 4.85

    تعليمات التنصيب

    $ svn co --username=guest --password='' svn://svn.insecure.org/nmap

    لتنصيب nmap من المستودع
    $ cd nmap

    تجهيز الحزمة
    $ ./configure && make

    تنصيب الحزمة
    $ sudo make install

    الأمر الذي تحتاجه
    $ nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <target>

    target يمكن أن تكون هدف واحد مثل 1.1.1.1 وممكن أن تكون شبكة مثل 1.1.1.0/24

    النتيجة التي سيظهرها nmap

    اوضح النتائج هي الآتي

    “Conficker: Likely CLEAN”

    أو

    “Conficker: Likely INFECTED”

    إذا ظهرت لك الاخيرة فالحاسوب مصاب سارع بإزالة الدودة قبل يوم غد.

    إذا ظهرت لك هذه النتيجة

    “Conficker: ERROR: NT_STATUS_ACCESS_DENIED”

    فهناك احتمال أن الحاسب غير مصاب (لاحظ أنه احتمال وليس مؤكد)

    هناك أيضاً الرسالة التالية

    Conficker: ERROR: NT_STATUS_OBJECT_NAME_NOT_FOUND

    قد لا يكون مصاب وقد يكون غير مصاب.


    أداة فحص أخرى

    http://iv.cs.uni-bonn.de/uploads/med...mem_killer.exe

    الرابط أعلاه موجود في الصفحة التالية مع معلومات تفصيلية اكثر
    http://iv.cs.uni-bonn.de/wg/cs/appli...ing-conficker/
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  2. #2
    123essam123
    زائر

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    بارك الله فيك يااخى على التوضيح

  3. #3
    مشرف سابق الصورة الرمزية أبو قصي
    تاريخ التسجيل
    Feb 2009
    المشاركات
    3,102
    الدولة: Jordan
    معدل تقييم المستوى
    48

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    اشكرك اخي على هذه المعلومات القيمه والتنبيه

  4. #4
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    وفيكم بارك الله وشكراً للمرور
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  5. #5
    عضو
    تاريخ التسجيل
    Aug 2006
    المشاركات
    232
    معدل تقييم المستوى
    12

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    بارك الله فيك

    مواضيعك دائماً تروق لذائقتي فشكراً لك

    بخصوص هذا الامر من خلال Nmap هل لك أن تبيّن لنا كيف يمكن له أن يكشف هل الـ IP المدخل في الأمر هو Infected بالـ Worm أم لا :

    $ nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <target>
    النقطة الأخرى كيف تم تحديد موعد انطلاق هذا Worm !?

    هل هو من خلال تلقي Worm الأوامر من خلال Domains ؟

    تحيتي لك

  6. #6
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    اقتباس المشاركة الأصلية كتبت بواسطة أبو عابد2 مشاهدة المشاركة
    بارك الله فيك

    مواضيعك دائماً تروق لذائقتي فشكراً لك

    بخصوص هذا الامر من خلال Nmap هل لك أن تبيّن لنا كيف يمكن له أن يكشف هل الـ IP المدخل في الأمر هو Infected بالـ Worm أم لا :

    النقطة الأخرى كيف تم تحديد موعد انطلاق هذا Worm !?

    هل هو من خلال تلقي Worm الأوامر من خلال Domains ؟

    تحيتي لك

    وفيك بارك الله أخي الكريم أبو عابد2

    إذا لاحظت هذه الصيغة في أمر nmap أخي

    --script=smb-check-vulns

    nmap حالياً يعمل كماسح ثغرات مثل nessus ولكن بالطبع ليس بقوة nessus. الدودة تستهدف خدمة smb والتي تعمل على المنفذ 445 والباحثون أصبح لديهم بصمة خاصة في الدودة وال Nmap وغيره يبحثون عن هذه البصمة.

    هناك أكثر من ماسح يبحث عن هذه الدودة.

    موعد الإطلاق تمّ تحديده من خلال عمل reverse engineering للكود الخاص بالدودة وكذلك الخوازمية المستخدمة في توليد العناوين التي تقوم بستجيلها. الشكل الآخير من الدودة يعمل عبر peer-to-peer ومن خلال شبكة كهذه يمكن (قد اكون مخطئاً هنا) تمرير الأوامر دون الحاجة للذّهاب إلى الدومينات.

    ارجو أن يكون هذا قد اجاب عن تساؤلاتك وشكراً للمرور الطيب.
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  7. #7
    عضو الصورة الرمزية UNIXY
    تاريخ التسجيل
    Jan 2007
    المشاركات
    292
    معدل تقييم المستوى
    0

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    سؤال.... هل تدري أن الخبر هو "كذبة أبريل" لسنة 2009
    http://edition.cnn.com/2009/TECH/04/...ses/index.html




    connecting......[root@dark-side /] # egrep -i -v [~(~connected)] /var/log/messages >> /var/log/messages

    You cant see me but I can see you :)

  8. #8
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    أخي مارشال كيف الأخبار؟

    باحثوا أمن المعلومات قال أنّه لا يوجد مؤشرات تشير على أمر خطير عدا عن أنّ الدودة ستغيّير شكلها. وهو ما حدث بالفعل الدودة قامت بتغيير شكلها للمرة الرابعة من أول ظهور لها.

    ولكن عدا عن ذلك لا يوجد أي شيء

    http://www.f-secure.com/weblog/archives/00001644.html
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  9. #9
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    أغرب ما في هذه الدودة هو أنه على الرغم من أنها قد اخترق ملايين الحواسيب إلّا أنّها لم تقم بأي عمل تخريبي بعد. مثل هجمات حجب خدمة أو سبام أو غيره. فقط تغيير شكل وتطوير وتوفير حماية أكثر للدّودة ومحاولة توسيع الانتشار.

    طبعاً الدودة اليوم تتصل ب 500 دومين للبحث عن أوامر. مطوّروا الدّودة غير من الأسلوب في أمس لتبدأ شبكة ال P2P طبعاً يكفي دومين واحد يحتوي على البرنامج الضّار ليتم توزيعه على شبكة الحواسيب المصابة.

    لاحظ الصورة



    هنا تاريخ تطوير الدودة

    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  10. #10
    عضو الصورة الرمزية UNIXY
    تاريخ التسجيل
    Jan 2007
    المشاركات
    292
    معدل تقييم المستوى
    0

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    الدودة حقيقية... صحيح.
    وطريقة عملها كما ذكرت,,,, فقط الجزء المتعلق بتنفيذها هجوم في أول أيام أبريل هو الذي يعتبر جزء من "مقلب أبريل"



    connecting......[root@dark-side /] # egrep -i -v [~(~connected)] /var/log/messages >> /var/log/messages

    You cant see me but I can see you :)

  11. #11
    عضو برونزي
    تاريخ التسجيل
    Jul 2007
    المشاركات
    469
    الدولة: Iraq
    معدل تقييم المستوى
    11

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker

    صارت عندي ...:D
    [CENTER][SIZE=3][FONT=Georgia][COLOR=seagreen][B]مـــواضـــيعي[/B][/COLOR][/FONT][/SIZE][/CENTER]
    [CENTER][SIZE=3][URL="http://arabhardware.net/forum/showthread.php?t=74417"]دورة الشبكات الكامله[/URL][/SIZE][/CENTER]
    [CENTER][SIZE=3][COLOR=#2e8b57][URL="http://http://www.arabhardware.net/forum/showthread.php?t=60498"]تعلم ربط شبكه منزليه[/URL][/COLOR][/SIZE][/CENTER]
    [CENTER][SIZE=3][COLOR=#2e8b57][URL="http://www.arabhardware.net/forum/showthread.php?t=60471"]تعلم ربط شبكة العاب بالصور[/URL][/COLOR][/SIZE][/CENTER]
    [CENTER][SIZE=3][COLOR=#2e8b57][URL="http://arabhardware.com/forum/showthread.php?p=455669#post455669"]اربع طرق لتجنب الفورمات[/URL][/COLOR][/SIZE][/CENTER]
    [CENTER][SIZE=3][COLOR=#2e8b57][URL="http://www.arabhardware.net/forum/showthread.php?p=437083#post437083"]تسريع الوندوز..حقيقي ومجرب[/URL][/COLOR][/SIZE][/CENTER]
    [CENTER][SIZE=3][URL="http://arabhardware.net/forum/showthread.php?t=73074"]اي سؤال بالانترنت OneWay[/URL][/SIZE][/CENTER]
    [URL="http://arabhardware.net/forum/showthread.php?p=579524#post579524"][CENTER][SIZE="3"]تخلص من فايروس Autorun[/SIZE][/CENTER]
    [/URL]


    [RIGHT][FONT=Comic Sans MS][SIZE=5][COLOR=red][B]لن تحجبوا الشمس عني . .[/B][/COLOR][/SIZE][/FONT][/RIGHT]
    [RIGHT][FONT=Comic Sans MS][SIZE=5][B][COLOR=#ff0000]لن تاخذوا سيفي مني . . [/COLOR][COLOR=#ff0000]سأقاوم . .[/COLOR][/B][/SIZE][/FONT][/RIGHT]
    [RIGHT][SIZE=4][COLOR=black]Bcs. Computer science , Network+ , CCNA[/COLOR][/SIZE][/RIGHT]

  12. #12
    عضو الصورة الرمزية OoBiLaLoO
    تاريخ التسجيل
    Dec 2007
    المشاركات
    72
    الدولة: Syria
    معدل تقييم المستوى
    0

    رد: ترقبوا يوم غد: الأول من إبريل - دودة confiker



    شكراً أخي على التوضيح والتنبيه

المواضيع المتشابهه

  1. عملاء 6 إبريل
    بواسطة hack4love في المنتدى الأرشيف
    مشاركات: 2
    آخر مشاركة: 06-10-2011, 04:59
  2. مشاركات: 7
    آخر مشاركة: 21-10-2009, 21:43
  3. في ايه يا جماعة ولا انا عشان من مصر مش هتردم عليا
    بواسطة عصووووم في المنتدى الأرشيف
    مشاركات: 3
    آخر مشاركة: 17-06-2008, 10:36
  4. كذبة إبريل
    بواسطة Tiina في المنتدى الأرشيف
    مشاركات: 4
    آخر مشاركة: 01-04-2008, 18:59
  5. [SWiSHmax] الدرس الأول : التعرف على الأدوات - الجزأ الأول
    بواسطة Mr.Ahmad في المنتدى البرمجه والتصميمات الفنيه ( الجرافيكس )
    مشاركات: 6
    آخر مشاركة: 12-09-2007, 16:55

الكلمات الدلالية لهذا الموضوع

المفضلات

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •