ترقبوا يوم غد: الأول من إبريل - دودة confiker

[باحث عن المعرفة]

إخواني أعضاء عرب هاردوير...

غداً الأربعاء الموافق الأول من إبريل 2009 هو اليوم الذي ستأخذ فيه دودة confiker شكلها الجديد والذي يمكن أيضاً فيه أن تتلقى إشارة البدء بالعمل.

لمن لا يعرف عن الدودة:

هذه الدودة تصيب انظمة الويندوز فقط...وتحديداً النسخ المقرصنة أو الأنظمة التي لم يقم أصحابها بعمل أي تحديث لها.

بدء انتشار الدودة في شهر سبتمبر الماضي وأخذت من ذلك التاريخ 3 أشكال الشكل الأخير المعروف ب C استخدم خوازمية هاش متقدمة جدّاً وجديدة جداً وهي md6 وذلك من اجل التأكد من انه لم يتم التلاعب بها. يقدر عدد الأجهزة المصابة بمليون إلى ثلاثة ملايين جهاز.

تقوم الدودة وفق خوارزمية معيّنة بالإتصال ب خمسين ألف دومين نعم 50000 دومين طبعاً ليس في نفس الوقت وإنما يومياً تقوم بتسجيل 250 دومين منذ يوم إطلاقها إلى اليوم وتتصل بهذه الدومينات للحصول على أوامر.

حتى الآن لم تقم الدودة بتلقي الأوامر وما هو معروف للباحثين أنها ستقوم بتغير نشاطها يوم الأربعاء القادم الأكيد حتى اللحظة أن عدد الدومينات التي ستقوم الدودة بتسجيلها هي 500 يومياً بدل من 250. ولكن لا يعرف بعد بشكل أكيد إذا ما سيتم إطلاقها بشكل كامل يوم الأربعاء أم لا.

حتى يومنا هذه تعدّ هذه الدودة هي أخطر هجوم تتعرض له الإنترنت. ولهذا قامت مجموعة من كبرى شركات مكافحة الفيروسات ومسجّلي الإنترنت وشركة مايكروسوف بإنشاء خلية نحل تعمل على مدار الساعة لإحتواء خطر الدودة.

كيف تعرف أنّك مصاب؟

بعض أشكال الدودة وتحديداً الأخير منها لن تسمح للجهاز المصاب بالوصول إلى أي من مواقع شركات الحماية أو موقع شركة مايكروسوفت.

هناك أيضاً تم إنشاء مواسح شبكة من أجل فحص جميع الأجهزة والتأكد من سلامتها.

عناوين مهمّة:

مايكروسوفت

وصلة تنزيل أداة إزالة الدودة وفحص الحاسب Online
https://www.microsoft.com/security/m...e/default.mspx


تعليمات الإزالة
Microsoft: https://support.microsoft.com/kb/962007
Kaspersky: support.kaspersky.com/faq/
BitDefender: http://www.bitdefender.com/VIRUS-100...nadup.Gen.html
TrendMicro: http://www.trendmicro.com/vinfo/viru...o/default5.asp
Sophos: https://www.sophos.com/support/knowl...cle/51416.html


أدوات الإزالة
Microsoft MSRT: https://www.microsoft.com/security/m...e/default.mspx
F-Secure: ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
AhnLab: https://global.ahnlab.com/global/fil...3conficker.zip
Symantec: https://www.symantec.com/business/se...011316-0247-99
McAfee: https://vil.nai.com/vil/stinger/
ESET: download.eset.com/special/EConfickerRemover.exe
BitDefender: https://www.bdtools.net/
Kaspersky: https://data2.kaspersky-labs.com:808...ler_v3.3.3.zip
TrendMicro: https://securecloud.com/support/sysclean
Sophos: secure.sophos.com/products/free-tools/conficker-removal-tool-network/download التسجيل مطلوب



القيام بعملية مسح للشبكة من اجل اكتشاف الاجهزة المصابة باستخدام nmap الإصدارة الجديدة البيتا 4.85

تعليمات التنصيب

$ svn co --username=guest --password='' svn://svn.insecure.org/nmap

لتنصيب nmap من المستودع
$ cd nmap

تجهيز الحزمة
$ ./configure && make

تنصيب الحزمة
$ sudo make install

الأمر الذي تحتاجه
$ nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <target>

target يمكن أن تكون هدف واحد مثل 1.1.1.1 وممكن أن تكون شبكة مثل 1.1.1.0/24

النتيجة التي سيظهرها nmap

اوضح النتائج هي الآتي

“Conficker: Likely CLEAN”

أو

“Conficker: Likely INFECTED”

إذا ظهرت لك الاخيرة فالحاسوب مصاب سارع بإزالة الدودة قبل يوم غد.

إذا ظهرت لك هذه النتيجة

“Conficker: ERROR: NT_STATUS_ACCESS_DENIED”

فهناك احتمال أن الحاسب غير مصاب (لاحظ أنه احتمال وليس مؤكد)

هناك أيضاً الرسالة التالية

Conficker: ERROR: NT_STATUS_OBJECT_NAME_NOT_FOUND

قد لا يكون مصاب وقد يكون غير مصاب.


أداة فحص أخرى

https://iv.cs.uni-bonn.de/uploads/me...mem_killer.exe

الرابط أعلاه موجود في الصفحة التالية مع معلومات تفصيلية اكثر
https://iv.cs.uni-bonn.de/wg/cs/appl...ing-conficker/

[123essam123]

بارك الله فيك يااخى على التوضيح

[أبو قصي]

اشكرك اخي على هذه المعلومات القيمه والتنبيه

[باحث عن المعرفة]

وفيكم بارك الله وشكراً للمرور

[أبو عابد2]

بارك الله فيك

مواضيعك دائماً تروق لذائقتي فشكراً لك

بخصوص هذا الامر من خلال Nmap هل لك أن تبيّن لنا كيف يمكن له أن يكشف هل الـ IP المدخل في الأمر هو Infected بالـ Worm أم لا :

$ nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <target>

النقطة الأخرى كيف تم تحديد موعد انطلاق هذا Worm !?

هل هو من خلال تلقي Worm الأوامر من خلال Domains ؟

تحيتي لك

[باحث عن المعرفة]

بارك الله فيك

مواضيعك دائماً تروق لذائقتي فشكراً لك

بخصوص هذا الامر من خلال Nmap هل لك أن تبيّن لنا كيف يمكن له أن يكشف هل الـ IP المدخل في الأمر هو Infected بالـ Worm أم لا :

النقطة الأخرى كيف تم تحديد موعد انطلاق هذا Worm !?

هل هو من خلال تلقي Worm الأوامر من خلال Domains ؟

تحيتي لك

وفيك بارك الله أخي الكريم أبو عابد2

إذا لاحظت هذه الصيغة في أمر nmap أخي

--script=smb-check-vulns

nmap حالياً يعمل كماسح ثغرات مثل nessus ولكن بالطبع ليس بقوة nessus. الدودة تستهدف خدمة smb والتي تعمل على المنفذ 445 والباحثون أصبح لديهم بصمة خاصة في الدودة وال Nmap وغيره يبحثون عن هذه البصمة.

هناك أكثر من ماسح يبحث عن هذه الدودة.

موعد الإطلاق تمّ تحديده من خلال عمل reverse engineering للكود الخاص بالدودة وكذلك الخوازمية المستخدمة في توليد العناوين التي تقوم بستجيلها. الشكل الآخير من الدودة يعمل عبر peer-to-peer ومن خلال شبكة كهذه يمكن (قد اكون مخطئاً هنا) تمرير الأوامر دون الحاجة للذّهاب إلى الدومينات.

ارجو أن يكون هذا قد اجاب عن تساؤلاتك وشكراً للمرور الطيب.

[UNIXY]

سؤال.... هل تدري أن الخبر هو "كذبة أبريل" لسنة 2009
https://edition.cnn.com/2009/TECH/04...ses/index.html

[باحث عن المعرفة]

أخي مارشال كيف الأخبار؟

باحثوا أمن المعلومات قال أنّه لا يوجد مؤشرات تشير على أمر خطير عدا عن أنّ الدودة ستغيّير شكلها. وهو ما حدث بالفعل الدودة قامت بتغيير شكلها للمرة الرابعة من أول ظهور لها.

ولكن عدا عن ذلك لا يوجد أي شيء

https://www.f-secure.com/weblog/archives/00001644.html

[باحث عن المعرفة]

أغرب ما في هذه الدودة هو أنه على الرغم من أنها قد اخترق ملايين الحواسيب إلّا أنّها لم تقم بأي عمل تخريبي بعد. مثل هجمات حجب خدمة أو سبام أو غيره. فقط تغيير شكل وتطوير وتوفير حماية أكثر للدّودة ومحاولة توسيع الانتشار.

طبعاً الدودة اليوم تتصل ب 500 دومين للبحث عن أوامر. مطوّروا الدّودة غير من الأسلوب في أمس لتبدأ شبكة ال P2P طبعاً يكفي دومين واحد يحتوي على البرنامج الضّار ليتم توزيعه على شبكة الحواسيب المصابة.

لاحظ الصورة



هنا تاريخ تطوير الدودة

[UNIXY]

الدودة حقيقية... صحيح.
وطريقة عملها كما ذكرت,,,, فقط الجزء المتعلق بتنفيذها هجوم في أول أيام أبريل هو الذي يعتبر جزء من "مقلب أبريل"

[سيف المدرس]

صارت عندي ...:D

[OoBiLaLoO]

شكراً أخي على التوضيح والتنبيه