تنتشر هذه الدودة مؤخرا" بشكل سريع ومفزع، ويعود ذلك كما أرى الى حداثتها وتأخر برامج المكافحة في إعتماد تقنيات التعرف عليها ومقاومتها من جهة،ومن حهة أخرى الى النظرة الخاطئة التي ينظر بها بعض مستخدمي الكومبيوتر لبرامج مكافحة الفيروسات من أنها تبطئ نظام التشغيل...ونراهم بالتالي لا يثبتون تلك البرامج في أجهزتهم، ويغيب عنهم أنهم بذلك يعرضون جهازهم وملفاتهم كلها للخطر.
وتتوفر من تلك الدودة حاليا" نسختان تختلفان في تأثيراتهما هما Email-Worm.Win32.Brontok.a و Email-Worm.Win32.Brontok.q .
تسميها شركات إنتاج برامج المكافحة كالتالي:
Email-Worm.Win32.Brontok.q (Kaspersky Lab) is also known as: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
وتنتشر النسخة (q) التي أعتقد أنك نقصدها، على الانترنت كمرفق لرسالة البريد الالكتروني المصابة ثم تبدء بإرسال نسخ عنها الى جميع عناوين البريد الالكتروني الموجودة على الجهاز الضحية، لحظة فتح الملف المصاب فإن المرء يفاجأ بفتح مغلف الصور في المستندات My Pictures'
ثم تبدء الدودة بعملها على مفاتيح السجل...إبدالا" وتخريبا"، بما يسبب إبطال أدوات التعامل مع السجل (Regedit)، وتعطيل فتح موجه الاوامر( cmd)، وأدوات إستعراض الملفات والمغلفات في مستعرض وندوز. ثم تشرع الدودة بنسخ نفسها الى أرجاء مغلفات نظام التشغيل بأسماء مختلفة وتصنع صفحة HTML بأسم Brontok.A.html تضعها في مغلف الصور . من الجدير بالذكر أن الدودة تنشئ ملفا" بأسم sistem.sys في مغلف Windows يتضمن وقت وتاريخ إصابة الجهاز الضحية. وتعدل الدودة في ملف autoexec.bat مسببة إعادة التشغيل في الجهاز المصاب من وقتٍ لآخر.
هذا ما توفر لي عن هذه الدودة الخطيرة، ويمكن مراجعة قواعد البيانات لشركات إنتاج برامج المكافحة للاستزادة.
النديم
المفضلات