ترقبوا يوم غد: الأول من إبريل - دودة confiker

[باحث عن المعرفة]

إخواني أعضاء عرب هاردوير...

غداً الأربعاء الموافق الأول من إبريل 2009 هو اليوم الذي ستأخذ فيه دودة confiker شكلها الجديد والذي يمكن أيضاً فيه أن تتلقى إشارة البدء بالعمل.

لمن لا يعرف عن الدودة:

هذه الدودة تصيب انظمة الويندوز فقط...وتحديداً النسخ المقرصنة أو الأنظمة التي لم يقم أصحابها بعمل أي تحديث لها.

بدء انتشار الدودة في شهر سبتمبر الماضي وأخذت من ذلك التاريخ 3 أشكال الشكل الأخير المعروف ب C استخدم خوازمية هاش متقدمة جدّاً وجديدة جداً وهي md6 وذلك من اجل التأكد من انه لم يتم التلاعب بها. يقدر عدد الأجهزة المصابة بمليون إلى ثلاثة ملايين جهاز.

تقوم الدودة وفق خوارزمية معيّنة بالإتصال ب خمسين ألف دومين نعم 50000 دومين طبعاً ليس في نفس الوقت وإنما يومياً تقوم بتسجيل 250 دومين منذ يوم إطلاقها إلى اليوم وتتصل بهذه الدومينات للحصول على أوامر.

حتى الآن لم تقم الدودة بتلقي الأوامر وما هو معروف للباحثين أنها ستقوم بتغير نشاطها يوم الأربعاء القادم الأكيد حتى اللحظة أن عدد الدومينات التي ستقوم الدودة بتسجيلها هي 500 يومياً بدل من 250. ولكن لا يعرف بعد بشكل أكيد إذا ما سيتم إطلاقها بشكل كامل يوم الأربعاء أم لا.

حتى يومنا هذه تعدّ هذه الدودة هي أخطر هجوم تتعرض له الإنترنت. ولهذا قامت مجموعة من كبرى شركات مكافحة الفيروسات ومسجّلي الإنترنت وشركة مايكروسوف بإنشاء خلية نحل تعمل على مدار الساعة لإحتواء خطر الدودة.

كيف تعرف أنّك مصاب؟

بعض أشكال الدودة وتحديداً الأخير منها لن تسمح للجهاز المصاب بالوصول إلى أي من مواقع شركات الحماية أو موقع شركة مايكروسوفت.

هناك أيضاً تم إنشاء مواسح شبكة من أجل فحص جميع الأجهزة والتأكد من سلامتها.

عناوين مهمّة:

مايكروسوفت

وصلة تنزيل أداة إزالة الدودة وفحص الحاسب Online
https://www.microsoft.com/security/m...e/default.mspx


تعليمات الإزالة
Microsoft: https://support.microsoft.com/kb/962007
Kaspersky: support.kaspersky.com/faq/
BitDefender: http://www.bitdefender.com/VIRUS-100...nadup.Gen.html
TrendMicro: http://www.trendmicro.com/vinfo/viru...o/default5.asp
Sophos: https://www.sophos.com/support/knowl...cle/51416.html


أدوات الإزالة
Microsoft MSRT: https://www.microsoft.com/security/m...e/default.mspx
F-Secure: ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
AhnLab: https://global.ahnlab.com/global/fil...3conficker.zip
Symantec: https://www.symantec.com/business/se...011316-0247-99
McAfee: https://vil.nai.com/vil/stinger/
ESET: download.eset.com/special/EConfickerRemover.exe
BitDefender: https://www.bdtools.net/
Kaspersky: https://data2.kaspersky-labs.com:808...ler_v3.3.3.zip
TrendMicro: https://securecloud.com/support/sysclean
Sophos: secure.sophos.com/products/free-tools/conficker-removal-tool-network/download التسجيل مطلوب



القيام بعملية مسح للشبكة من اجل اكتشاف الاجهزة المصابة باستخدام nmap الإصدارة الجديدة البيتا 4.85

تعليمات التنصيب

$ svn co --username=guest --password='' svn://svn.insecure.org/nmap

لتنصيب nmap من المستودع
$ cd nmap

تجهيز الحزمة
$ ./configure && make

تنصيب الحزمة
$ sudo make install

الأمر الذي تحتاجه
$ nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <target>

target يمكن أن تكون هدف واحد مثل 1.1.1.1 وممكن أن تكون شبكة مثل 1.1.1.0/24

النتيجة التي سيظهرها nmap

اوضح النتائج هي الآتي

“Conficker: Likely CLEAN”

أو

“Conficker: Likely INFECTED”

إذا ظهرت لك الاخيرة فالحاسوب مصاب سارع بإزالة الدودة قبل يوم غد.

إذا ظهرت لك هذه النتيجة

“Conficker: ERROR: NT_STATUS_ACCESS_DENIED”

فهناك احتمال أن الحاسب غير مصاب (لاحظ أنه احتمال وليس مؤكد)

هناك أيضاً الرسالة التالية

Conficker: ERROR: NT_STATUS_OBJECT_NAME_NOT_FOUND

قد لا يكون مصاب وقد يكون غير مصاب.


أداة فحص أخرى

https://iv.cs.uni-bonn.de/uploads/me...mem_killer.exe

الرابط أعلاه موجود في الصفحة التالية مع معلومات تفصيلية اكثر
https://iv.cs.uni-bonn.de/wg/cs/appl...ing-conficker/