بارك الله فيك يااخى على التوضيح
إخواني أعضاء عرب هاردوير...
غداً الأربعاء الموافق الأول من إبريل 2009 هو اليوم الذي ستأخذ فيه دودة confiker شكلها الجديد والذي يمكن أيضاً فيه أن تتلقى إشارة البدء بالعمل.
لمن لا يعرف عن الدودة:
هذه الدودة تصيب انظمة الويندوز فقط...وتحديداً النسخ المقرصنة أو الأنظمة التي لم يقم أصحابها بعمل أي تحديث لها.
بدء انتشار الدودة في شهر سبتمبر الماضي وأخذت من ذلك التاريخ 3 أشكال الشكل الأخير المعروف ب C استخدم خوازمية هاش متقدمة جدّاً وجديدة جداً وهي md6 وذلك من اجل التأكد من انه لم يتم التلاعب بها. يقدر عدد الأجهزة المصابة بمليون إلى ثلاثة ملايين جهاز.
تقوم الدودة وفق خوارزمية معيّنة بالإتصال ب خمسين ألف دومين نعم 50000 دومين طبعاً ليس في نفس الوقت وإنما يومياً تقوم بتسجيل 250 دومين منذ يوم إطلاقها إلى اليوم وتتصل بهذه الدومينات للحصول على أوامر.
حتى الآن لم تقم الدودة بتلقي الأوامر وما هو معروف للباحثين أنها ستقوم بتغير نشاطها يوم الأربعاء القادم الأكيد حتى اللحظة أن عدد الدومينات التي ستقوم الدودة بتسجيلها هي 500 يومياً بدل من 250. ولكن لا يعرف بعد بشكل أكيد إذا ما سيتم إطلاقها بشكل كامل يوم الأربعاء أم لا.
حتى يومنا هذه تعدّ هذه الدودة هي أخطر هجوم تتعرض له الإنترنت. ولهذا قامت مجموعة من كبرى شركات مكافحة الفيروسات ومسجّلي الإنترنت وشركة مايكروسوف بإنشاء خلية نحل تعمل على مدار الساعة لإحتواء خطر الدودة.
كيف تعرف أنّك مصاب؟
بعض أشكال الدودة وتحديداً الأخير منها لن تسمح للجهاز المصاب بالوصول إلى أي من مواقع شركات الحماية أو موقع شركة مايكروسوفت.
هناك أيضاً تم إنشاء مواسح شبكة من أجل فحص جميع الأجهزة والتأكد من سلامتها.
عناوين مهمّة:
مايكروسوفت
وصلة تنزيل أداة إزالة الدودة وفحص الحاسب Online
https://www.microsoft.com/security/m...e/default.mspx
تعليمات الإزالة
Microsoft: https://support.microsoft.com/kb/962007
Kaspersky: support.kaspersky.com/faq/
BitDefender: http://www.bitdefender.com/VIRUS-100...nadup.Gen.html
TrendMicro: http://www.trendmicro.com/vinfo/viru...o/default5.asp
Sophos: https://www.sophos.com/support/knowl...cle/51416.html
أدوات الإزالة
Microsoft MSRT: https://www.microsoft.com/security/m...e/default.mspx
F-Secure: ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
AhnLab: https://global.ahnlab.com/global/fil...3conficker.zip
Symantec: https://www.symantec.com/business/se...011316-0247-99
McAfee: https://vil.nai.com/vil/stinger/
ESET: download.eset.com/special/EConfickerRemover.exe
BitDefender: https://www.bdtools.net/
Kaspersky: https://data2.kaspersky-labs.com:808...ler_v3.3.3.zip
TrendMicro: https://securecloud.com/support/sysclean
Sophos: secure.sophos.com/products/free-tools/conficker-removal-tool-network/download التسجيل مطلوب
القيام بعملية مسح للشبكة من اجل اكتشاف الاجهزة المصابة باستخدام nmap الإصدارة الجديدة البيتا 4.85
تعليمات التنصيب
$ svn co --username=guest --password='' svn://svn.insecure.org/nmap
لتنصيب nmap من المستودع
$ cd nmap
تجهيز الحزمة
$ ./configure && make
تنصيب الحزمة
$ sudo make install
الأمر الذي تحتاجه
$ nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <target>
target يمكن أن تكون هدف واحد مثل 1.1.1.1 وممكن أن تكون شبكة مثل 1.1.1.0/24
النتيجة التي سيظهرها nmap
اوضح النتائج هي الآتي
“Conficker: Likely CLEAN”
أو
“Conficker: Likely INFECTED”
إذا ظهرت لك الاخيرة فالحاسوب مصاب سارع بإزالة الدودة قبل يوم غد.
إذا ظهرت لك هذه النتيجة
“Conficker: ERROR: NT_STATUS_ACCESS_DENIED”
فهناك احتمال أن الحاسب غير مصاب (لاحظ أنه احتمال وليس مؤكد)
هناك أيضاً الرسالة التالية
Conficker: ERROR: NT_STATUS_OBJECT_NAME_NOT_FOUND
قد لا يكون مصاب وقد يكون غير مصاب.
أداة فحص أخرى
https://iv.cs.uni-bonn.de/uploads/me...mem_killer.exe
الرابط أعلاه موجود في الصفحة التالية مع معلومات تفصيلية اكثر
https://iv.cs.uni-bonn.de/wg/cs/appl...ing-conficker/
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
بارك الله فيك يااخى على التوضيح
اشكرك اخي على هذه المعلومات القيمه والتنبيه
وفيكم بارك الله وشكراً للمرور
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
بارك الله فيك
مواضيعك دائماً تروق لذائقتي فشكراً لك
بخصوص هذا الامر من خلال Nmap هل لك أن تبيّن لنا كيف يمكن له أن يكشف هل الـ IP المدخل في الأمر هو Infected بالـ Worm أم لا :
النقطة الأخرى كيف تم تحديد موعد انطلاق هذا Worm !?$ nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <target>
هل هو من خلال تلقي Worm الأوامر من خلال Domains ؟
تحيتي لك
وفيك بارك الله أخي الكريم أبو عابد2
إذا لاحظت هذه الصيغة في أمر nmap أخي
--script=smb-check-vulns
nmap حالياً يعمل كماسح ثغرات مثل nessus ولكن بالطبع ليس بقوة nessus. الدودة تستهدف خدمة smb والتي تعمل على المنفذ 445 والباحثون أصبح لديهم بصمة خاصة في الدودة وال Nmap وغيره يبحثون عن هذه البصمة.
هناك أكثر من ماسح يبحث عن هذه الدودة.
موعد الإطلاق تمّ تحديده من خلال عمل reverse engineering للكود الخاص بالدودة وكذلك الخوازمية المستخدمة في توليد العناوين التي تقوم بستجيلها. الشكل الآخير من الدودة يعمل عبر peer-to-peer ومن خلال شبكة كهذه يمكن (قد اكون مخطئاً هنا) تمرير الأوامر دون الحاجة للذّهاب إلى الدومينات.
ارجو أن يكون هذا قد اجاب عن تساؤلاتك وشكراً للمرور الطيب.
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
سؤال.... هل تدري أن الخبر هو "كذبة أبريل" لسنة 2009
https://edition.cnn.com/2009/TECH/04...ses/index.html
connecting......[root@dark-side /] # egrep -i -v [~(~connected)] /var/log/messages >> /var/log/messages
You cant see me but I can see you :)
أخي مارشال كيف الأخبار؟
باحثوا أمن المعلومات قال أنّه لا يوجد مؤشرات تشير على أمر خطير عدا عن أنّ الدودة ستغيّير شكلها. وهو ما حدث بالفعل الدودة قامت بتغيير شكلها للمرة الرابعة من أول ظهور لها.
ولكن عدا عن ذلك لا يوجد أي شيء
https://www.f-secure.com/weblog/archives/00001644.html
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
أغرب ما في هذه الدودة هو أنه على الرغم من أنها قد اخترق ملايين الحواسيب إلّا أنّها لم تقم بأي عمل تخريبي بعد. مثل هجمات حجب خدمة أو سبام أو غيره. فقط تغيير شكل وتطوير وتوفير حماية أكثر للدّودة ومحاولة توسيع الانتشار.
طبعاً الدودة اليوم تتصل ب 500 دومين للبحث عن أوامر. مطوّروا الدّودة غير من الأسلوب في أمس لتبدأ شبكة ال P2P طبعاً يكفي دومين واحد يحتوي على البرنامج الضّار ليتم توزيعه على شبكة الحواسيب المصابة.
لاحظ الصورة
هنا تاريخ تطوير الدودة
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
الدودة حقيقية... صحيح.
وطريقة عملها كما ذكرت,,,, فقط الجزء المتعلق بتنفيذها هجوم في أول أيام أبريل هو الذي يعتبر جزء من "مقلب أبريل"
connecting......[root@dark-side /] # egrep -i -v [~(~connected)] /var/log/messages >> /var/log/messages
You cant see me but I can see you :)
صارت عندي ...:D
[CENTER][SIZE=3][FONT=Georgia][COLOR=seagreen][B]مـــواضـــيعي[/B][/COLOR][/FONT][/SIZE][/CENTER]
[CENTER][SIZE=3][URL="https://arabhardware.net/forum/showthread.php?t=74417"]دورة الشبكات الكامله[/URL][/SIZE][/CENTER]
[CENTER][SIZE=3][COLOR=#2e8b57][URL="https://https://www.arabhardware.net/forum/showthread.php?t=60498"]تعلم ربط شبكه منزليه[/URL][/COLOR][/SIZE][/CENTER]
[CENTER][SIZE=3][COLOR=#2e8b57][URL="https://www.arabhardware.net/forum/showthread.php?t=60471"]تعلم ربط شبكة العاب بالصور[/URL][/COLOR][/SIZE][/CENTER]
[CENTER][SIZE=3][COLOR=#2e8b57][URL="https://arabhardware.com/forum/showthread.php?p=455669#post455669"]اربع طرق لتجنب الفورمات[/URL][/COLOR][/SIZE][/CENTER]
[CENTER][SIZE=3][COLOR=#2e8b57][URL="https://www.arabhardware.net/forum/showthread.php?p=437083#post437083"]تسريع الوندوز..حقيقي ومجرب[/URL][/COLOR][/SIZE][/CENTER]
[CENTER][SIZE=3][URL="https://arabhardware.net/forum/showthread.php?t=73074"]اي سؤال بالانترنت OneWay[/URL][/SIZE][/CENTER]
[URL="https://arabhardware.net/forum/showthread.php?p=579524#post579524"][CENTER][SIZE="3"]تخلص من فايروس Autorun[/SIZE][/CENTER]
[/URL]
[RIGHT][FONT=Comic Sans MS][SIZE=5][COLOR=red][B]لن تحجبوا الشمس عني . .[/B][/COLOR][/SIZE][/FONT][/RIGHT]
[RIGHT][FONT=Comic Sans MS][SIZE=5][B][COLOR=#ff0000]لن تاخذوا سيفي مني . . [/COLOR][COLOR=#ff0000]سأقاوم . .[/COLOR][/B][/SIZE][/FONT][/RIGHT]
[RIGHT][SIZE=4][COLOR=black]Bcs. Computer science , Network+ , CCNA[/COLOR][/SIZE][/RIGHT]
شكراً أخي على التوضيح والتنبيه
المفضلات