خبايا دودة Conficker الشهيرة, أغلبنا ان لم يكن الجميع قد سمع بهذه الدودة الذيضربت الكثير من الأجهزة حول العالم والتي سببت قلق كبير للشركات خصوصاً التي تعملبأنظمة ويندوز وشركات الأمن المعلوماتي.. الغريب في الأمر أن الأغلبية لا يعلم أيشيء عن هذه الدودة وما تعمل, لكن اليوم سوف نتناول طريقة عمل دودة Conficker منخلال بحث صغير قمت به.
الطريف في الأمر أن مبرمجي هذه الدودة يقومون بعملنسخة/اصدار جديد كل فترة, جعلتني أشعل أنها برنامج أو تطبيق يتم تطويرة كل فترةليقدم خدمة أفضل,لكن هذه الدودة يتم تطويرها كل فترة لتزيد الضرر أكثر منالسابق!!
أولاً يجب أن نعلم أن الدودة معروفة بكثير من الأسماء مثل:
Win32/Conficker.D
Win32/Conficker.C
Win32/Conficker.A
Win32/Conficker.B-Both
W32/Confick-G
Trojan.Win32.Pakes.ngs
وهيتعمل على أغلب اصدارت ويندوز مثل:
Windows 95, 98, 2000, ME, NT, XP, Vista, Server 2003/2008...
لم يتم تجربتها على ويندوز 7 ولكن من المؤكد أنها تعملعلية.
ماتقوم به هذه الدودة الشهيرة هو عمل انهيار للنظام بشكل بطيء فهيتعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) وتقوم بايقاف أغلبالخدمات في نظام ويندوز مثل مدير المهام, الريجستري, حجب أشهر المواقع مثل Google, Yahoo, Facebook, MSB, Microsoft... وبقية المواقع المشهورة وتقوم أيضا بحجب أشهرمواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تظهر لك رسالةتخبرك بأنك ليس متصل بالانترنت, وتقوم بايقاف عمل برامج مكافحة الفيروسات مثل Kaspersky, Norton, Mcafee... بالاضافة لقيامها بتعطيل الجدار الناري الخاصبالويندوز, نظام الحماية والتحديثات التلقائية وتقوم أيضا باستهلاك كبير لمواردالجهاز ولا تستغرب ان رأيت متصفح الانترنت أو أي برنامج آخر قام بتشغيل نفسةتلقائياً وتم الأتصال بأحد المواقع المشهورة..!
تنتشر الدودة بعدة أماكن في نظامويندوز وتتمركز في المسارات التالية:
بالنسبة لنظام Windows 2000/NT تتمركز فيالمسار:
C:\Winnt\System32
أما في نظام Windows ME/98 والاصدارات الأقدمتتمركز في المسار:
C:\Windows\System
وأخيرا في نظام Windows XP/Vista/Server في المسار:
C:\Windows\System32
وتقوم الدودة بنسخ نفسها للمجلداتالتالية:
Program Files\Windows NT
Program Files\Windows Media Player
Program Files\Internet Explorer
Program Files\Movie Maker
ملاحظة: المسارات هذه هي المسارات الافتراضية في الويندوز ويمكن تعديلهاعند تركيب النظام بواسطة Sys.Admin, لكن هذه الدودة ذكية نوعاً ما فهي لا تعتمد علىالمسار الأفتراضي بل تعتمد على المسار الموجود فية النظام مثلاً أن كان النظام علىالبارتشن D أو غيره وتحتوي الدودة على مولد صغير لتوليد اسماء للملفات فهي في كلمرة تنسخ نفسها باسم مختلف, مما يصعب الأمر على مدير النظام من معرفة أن كان هذاالملف سليم أم لا .. الشيء الثاني أن الدودة تقوم باخفاء الملفات هذه وتغير الـ privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها وتقوم أيضاًبانشاء ملفات و تسجيلات خاصة بها في الـ Registry .. وتنشئ أيضا خدمات خاصة بهابأسماء مختلفة مثل:
App, Audio, DM, ER, Event, help, Ias, Lanman, Net, Ntms, Ras, Remote, W32,win,Wmdm,Serv,Server,Service,Svc...
وعلى سبيل المثال قد تجدللدودة مدخلات في الـ Registry على هذاالشكل:
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Displ ayName = "Component Task"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Error Control = 00000000
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Image Path = "%Root%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Objec tName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Descr iption = ""
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Param eters\ServiceDll = "%System%\"
كما تقوم الدودة بحذف المجلدات التالية من الـ Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\exp lorer\She l lServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
الطريف في الأمر أن مبرمجي هذه الدودة يقومون بعملنسخة/اصدار جديد كل فترة, جعلتني أشعل أنها برنامج أو تطبيق يتم تطويرة كل فترةليقدم خدمة أفضل,لكن هذه الدودة يتم تطويرها كل فترة لتزيد الضرر أكثر منالسابق!!
أولاً يجب أن نعلم أن الدودة معروفة بكثير من الأسماء مثل:
Win32/Conficker.D
Win32/Conficker.C
Win32/Conficker.A
Win32/Conficker.B-Both
W32/Confick-G
Trojan.Win32.Pakes.ngs
وهيتعمل على أغلب اصدارت ويندوز مثل:
Windows 95, 98, 2000, ME, NT, XP, Vista, Server 2003/2008...
لم يتم تجربتها على ويندوز 7 ولكن من المؤكد أنها تعملعلية.
ماتقوم به هذه الدودة الشهيرة هو عمل انهيار للنظام بشكل بطيء فهيتعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) وتقوم بايقاف أغلبالخدمات في نظام ويندوز مثل مدير المهام, الريجستري, حجب أشهر المواقع مثل Google, Yahoo, Facebook, MSB, Microsoft... وبقية المواقع المشهورة وتقوم أيضا بحجب أشهرمواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تظهر لك رسالةتخبرك بأنك ليس متصل بالانترنت, وتقوم بايقاف عمل برامج مكافحة الفيروسات مثل Kaspersky, Norton, Mcafee... بالاضافة لقيامها بتعطيل الجدار الناري الخاصبالويندوز, نظام الحماية والتحديثات التلقائية وتقوم أيضا باستهلاك كبير لمواردالجهاز ولا تستغرب ان رأيت متصفح الانترنت أو أي برنامج آخر قام بتشغيل نفسةتلقائياً وتم الأتصال بأحد المواقع المشهورة..!
تنتشر الدودة بعدة أماكن في نظامويندوز وتتمركز في المسارات التالية:
بالنسبة لنظام Windows 2000/NT تتمركز فيالمسار:
C:\Winnt\System32
أما في نظام Windows ME/98 والاصدارات الأقدمتتمركز في المسار:
C:\Windows\System
وأخيرا في نظام Windows XP/Vista/Server في المسار:
C:\Windows\System32
وتقوم الدودة بنسخ نفسها للمجلداتالتالية:
Program Files\Windows NT
Program Files\Windows Media Player
Program Files\Internet Explorer
Program Files\Movie Maker
ملاحظة: المسارات هذه هي المسارات الافتراضية في الويندوز ويمكن تعديلهاعند تركيب النظام بواسطة Sys.Admin, لكن هذه الدودة ذكية نوعاً ما فهي لا تعتمد علىالمسار الأفتراضي بل تعتمد على المسار الموجود فية النظام مثلاً أن كان النظام علىالبارتشن D أو غيره وتحتوي الدودة على مولد صغير لتوليد اسماء للملفات فهي في كلمرة تنسخ نفسها باسم مختلف, مما يصعب الأمر على مدير النظام من معرفة أن كان هذاالملف سليم أم لا .. الشيء الثاني أن الدودة تقوم باخفاء الملفات هذه وتغير الـ privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها وتقوم أيضاًبانشاء ملفات و تسجيلات خاصة بها في الـ Registry .. وتنشئ أيضا خدمات خاصة بهابأسماء مختلفة مثل:
App, Audio, DM, ER, Event, help, Ias, Lanman, Net, Ntms, Ras, Remote, W32,win,Wmdm,Serv,Server,Service,Svc...
وعلى سبيل المثال قد تجدللدودة مدخلات في الـ Registry على هذاالشكل:
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Displ ayName = "Component Task"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Error Control = 00000000
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Image Path = "%Root%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Objec tName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Descr iption = ""
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Param eters\ServiceDll = "%System%\"
كما تقوم الدودة بحذف المجلدات التالية من الـ Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\exp lorer\She l lServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Windows Defender
فتعطل Windows Security Center بالاضافة لـ Windows Defender وتمنع المستخدم من استخدام الوضع الآمن Safe mode كما تحذف جميعنقاط الاستعادة في نظام ويندوز بحيث تمنع المستخدم من استرجاع وضع النظام لوقت سابقهذا بالاضافة لتعطيل العديد من الخدمات ومنع بعض البرامج من العمل في النظاممثل:
autoruns, confick, downad, filemon, gmer, hotfix, ms08-06, procexp, procmon, regmon, sysclean, tcpview, unlocker, wireshark...
كما تقوم الدودة بأستخدام الـ Windows API's التالية .. لتراقباتصالك وتمنعك من تصفح المواقع الحماية:
Query_Main
autoruns, confick, downad, filemon, gmer, hotfix, ms08-06, procexp, procmon, regmon, sysclean, tcpview, unlocker, wireshark...
كما تقوم الدودة بأستخدام الـ Windows API's التالية .. لتراقباتصالك وتمنعك من تصفح المواقع الحماية:
Query_Main
DnsQuery_W
DnsQuery_UTF8
DnsQuery_A
sendto
بالطبع هيه تقوم بذالك لكي تمنع من متابعة مواقع الأمنالمعلوماتي, لمراجعة أخر الأخبار الأمنية, تحميل أدوات أمنية, تحميل التحديثاتوتقوم أيضاً بتنقيح الروابط والمواقع التي تحاول فتحها في المتصفح, مثل:
avg.
kav.
msft.
sans.
anti-
avast
conficker
defender
drweb
etrust
f-secure
kaspersky
malware
mcafee
microsoft
nod32
norton
onecar
panda
symantec
wilderssecurity
windowsupdate
وهنا أذا قمت بطلب رابط يحتوي على ماسبق, لن تستطيع المواصلة وسوف يتم منعك من تصفح محتوى الموقع!
أما من يسأل عن سبب هذا الانتشار الكبير للدودة يعود السبب لوجود ثغرة خطيرة تم اكتشافها في نظام ويندوز (MS08-067) تسمح باختراق النظام عن بعد عن طريق استغلال ثغرة Buffer overflow في احدى خدمات النظام, لذلك أنصح بتحديث النظام بأسرع مايمكن وللأسف حتى الأن لا أستطيع أن أقول لكم اعتمدو على مكافح فيروسات معين .. فالدودة تتحدث باستمرار وتقوم بايقاف عمل مضاد الفيروسات وتمنع تحديثه! ولكن ان رأيت في الجهاز شيء من ماقيل سابقاً, عليك أن تتأكد من سلامة الجهاز.. فالأمر خطير ولا يستهان به.
avg.
kav.
msft.
sans.
anti-
avast
conficker
defender
drweb
etrust
f-secure
kaspersky
malware
mcafee
microsoft
nod32
norton
onecar
panda
symantec
wilderssecurity
windowsupdate
وهنا أذا قمت بطلب رابط يحتوي على ماسبق, لن تستطيع المواصلة وسوف يتم منعك من تصفح محتوى الموقع!
أما من يسأل عن سبب هذا الانتشار الكبير للدودة يعود السبب لوجود ثغرة خطيرة تم اكتشافها في نظام ويندوز (MS08-067) تسمح باختراق النظام عن بعد عن طريق استغلال ثغرة Buffer overflow في احدى خدمات النظام, لذلك أنصح بتحديث النظام بأسرع مايمكن وللأسف حتى الأن لا أستطيع أن أقول لكم اعتمدو على مكافح فيروسات معين .. فالدودة تتحدث باستمرار وتقوم بايقاف عمل مضاد الفيروسات وتمنع تحديثه! ولكن ان رأيت في الجهاز شيء من ماقيل سابقاً, عليك أن تتأكد من سلامة الجهاز.. فالأمر خطير ولا يستهان به.
