منتدى الأخوة
بحت حول خبايا دودة Conficker 613623
أخي الزائر / أختي الزائرة يرجي التكرم بتسجبل الدخول اذا كنت عضو معنا
او التسجيل ان لم تكن عضو وترغب في الانضمام الي اسرة المنتدي
سنتشرف بتسجيلك
شكرا بحت حول خبايا دودة Conficker 829894
ادارة المنتدي بحت حول خبايا دودة Conficker 103798
منتدى الأخوة
بحت حول خبايا دودة Conficker 613623
أخي الزائر / أختي الزائرة يرجي التكرم بتسجبل الدخول اذا كنت عضو معنا
او التسجيل ان لم تكن عضو وترغب في الانضمام الي اسرة المنتدي
سنتشرف بتسجيلك
شكرا بحت حول خبايا دودة Conficker 829894
ادارة المنتدي بحت حول خبايا دودة Conficker 103798
منتدى الأخوة
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.

منتدى الأخوة

منتدى للأخوة الاسلامية والعربية
 
الرئيسيةالبوابةأحدث الصورالتسجيلدخول
بحـث
 
 

نتائج البحث
 
Rechercher بحث متقدم
ازرار التصفُّح
 البوابة
 الرئيسية
 قائمة الاعضاء
 البيانات الشخصية
 س .و .ج
 بحـث
المواضيع الأخيرة
» قنبلة المحاضرات والدروس لسنة اولى والثانية حقوق
بحت حول خبايا دودة Conficker I_icon_minitimeالجمعة ديسمبر 03, 2010 6:01 pm من طرف rahim007100

» ترحيب ممتاز
بحت حول خبايا دودة Conficker I_icon_minitimeالجمعة ديسمبر 03, 2010 3:03 pm من طرف rahim007100

» روسيا تحظى بشرف تنظيم مونديال 2018
بحت حول خبايا دودة Conficker I_icon_minitimeالخميس ديسمبر 02, 2010 11:40 pm من طرف المدير العام

» رياض بودبوز ينال جائزة أحسن لاعب لـ''الخضر'' العام 2010
بحت حول خبايا دودة Conficker I_icon_minitimeالخميس ديسمبر 02, 2010 11:33 pm من طرف المدير العام

» عقود إدماج للبطالين بأجرة 12 ألف دينار بداية من جانفي
بحت حول خبايا دودة Conficker I_icon_minitimeالخميس ديسمبر 02, 2010 11:30 pm من طرف المدير العام

» الحلم أصبح حقيقة و المونديال في بلد عربي
بحت حول خبايا دودة Conficker I_icon_minitimeالخميس ديسمبر 02, 2010 11:19 pm من طرف المدير العام

» الجزائر مصر وغانا يتنافسون للظفر بجائزة أفضل منتخب إفريقي
بحت حول خبايا دودة Conficker I_icon_minitimeالإثنين نوفمبر 29, 2010 12:56 am من طرف المدير العام

» ما ينبغي عمله في العيد وما يحذر منه في العيد
بحت حول خبايا دودة Conficker I_icon_minitimeالأربعاء نوفمبر 24, 2010 2:33 pm من طرف المدير العام

» قصة صالح نبي ثمود عليه السلام
بحت حول خبايا دودة Conficker I_icon_minitimeالأربعاء نوفمبر 24, 2010 2:30 pm من طرف المدير العام

جرائد ومواقع
الصحف والمواقع الجزائرية
جريدة الخبر
جريدة الشروق
جريدة الهداف
جريدة الشباك
جريدة النهار
منتدى جامعة الجلفة
م.الجلفة لكل الجزائريين والعرب
الديوان الوطني للأرصاد الجوية
 
التبادل الاعلاني
احداث منتدى مجاني
زوار الموقع

.: عدد زوار المنتدى :.


 

 بحت حول خبايا دودة Conficker

اذهب الى الأسفل 
كاتب الموضوعرسالة
المدير العام
Admin
المدير العام


ذكر
عدد المساهمات : 866
نقاط : 2636
السٌّمعَة : 5
تاريخ التسجيل : 12/07/2010

بحت حول خبايا دودة Conficker Empty
مُساهمةموضوع: بحت حول خبايا دودة Conficker   بحت حول خبايا دودة Conficker I_icon_minitimeالإثنين أكتوبر 11, 2010 8:16 pm

بسم الله الرحمن الرحيم :




السلام عليكم :


خبايا دودة conficker الشهيرة, أغلبنا ان لم يكن الجميع قد سمع بهذه الدودة الذي ضربت الكثير من الأجهزة حول العالم والتي سببت قلق كبير للشركات خصوصاً التي تعمل بأنظمة ويندوز وشركات الأمن المعلوماتي.. الغريب في الأمر أن الأغلبية لا يعلم أي شيء عن هذه الدودة وما تعمل, لكن اليوم سوف نتناول طريقة عمل دودة conficker من خلال بحث صغير قمت به.

الطريف في الأمر أن مبرمجي هذه الدودة يقومون بعمل نسخة/اصدار جديد كل فترة, جعلتني أشعل أنها برنامج أو تطبيق يتم تطويرة كل فترة ليقدم خدمة أفضل,لكن هذه الدودة يتم تطويرها كل فترة لتزيد الضرر أكثر من السابق!!

أولاً يجب أن نعلم أن الدودة معروفة بكثير من الأسماء مثل:


Win32/Conficker.D
Win32/Conficker.C
Win32/Conficker.A
Win32/Conficker.B-Both
W32/Confick-G
Trojan.Win32.Pakes.ngs


وهي تعمل على أغلب اصدارت ويندوز مثل:


Windows 95, 98, 2000, ME, NT, XP, Vista, Server 2003/2008...


لم يتم تجربتها على ويندوز 7 ولكن من المؤكد أنها تعمل علية.

ماتقوم به هذه الدودة الشهيرة هو عمل انهيار للنظام بشكل بطيء فهي تعمل على محاربة النظام من كل النواحي (هارد وير, سوفت وير) وتقوم بايقاف أغلب الخدمات في نظام ويندوز مثل مدير المهام, الريجستري, حجب أشهر المواقع مثل Google, Yahoo, Facebook, MSB, Microsoft... وبقية المواقع المشهورة وتقوم أيضا بحجب أشهر مواقع الأمن المعلوماتي وعند محاولة زيارة موقع من المواقع المشهورة تظهر لك رسالة تخبرك بأنك ليس متصل بالانترنت, وتقوم بايقاف عمل برامج مكافحة الفيروسات مثل Kaspersky, Norton, Mcafee... بالاضافة لقيامها بتعطيل الجدار الناري الخاص بالويندوز, نظام الحماية والتحديثات التلقائية وتقوم أيضا باستهلاك كبير لموارد الجهاز ولا تستغرب ان رأيت متصفح الانترنت أو أي برنامج آخر قام بتشغيل نفسة تلقائياً وتم الأتصال بأحد المواقع المشهورة..!


تنتشر الدودة بعدة أماكن في نظام ويندوز وتتمركز في المسارات التالية:

بالنسبة لنظام Windows 2000/NT تتمركز في المسار:


C:\Winnt\System32


أما في نظام Windows ME/98 والاصدارات الأقدم تتمركز في المسار:


C:\Windows\System


وأخيرا في نظام Windows XP/Vista/Server في المسار:


C:\Windows\System32


وتقوم الدودة بنسخ نفسها للمجلدات التالية:


Program Files\Windows NT
Program Files\Windows Media Player
Program Files\Internet Explorer
Program Files\Movie Maker


ملاحظة: المسارات هذه هي المسارات الافتراضية في الويندوز ويمكن تعديلها عند تركيب النظام بواسطة Sys.Admin, لكن هذه الدودة ذكية نوعاً ما فهي لا تعتمد على المسار الأفتراضي بل تعتمد على المسار الموجود فية النظام مثلاً أن كان النظام على البارتشن D أو غيره وتحتوي الدودة على مولد صغير لتوليد اسماء للملفات فهي في كل مرة تنسخ نفسها باسم مختلف, مما يصعب الأمر على مدير النظام من معرفة أن كان هذا الملف سليم أم لا .. الشيء الثاني أن الدودة تقوم باخفاء الملفات هذه وتغير الـ privileges او الصلاحيات لها بحيث أنها تمنع المستخدم من الوصول لها وتقوم أيضاً بانشاء ملفات و تسجيلات خاصة بها في الـ Registry .. وتنشئ أيضا خدمات خاصة بها بأسماء مختلفة مثل:


App, Audio, DM, ER, Event, help, Ias, Lanman, Net, Ntms, Ras, Remote, W32,win,Wmdm,Serv,Server,Service,Svc...


وعلى سبيل المثال قد تجد للدودة مدخلات في الـ Registry على هذا الشكل:


HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Displ ayName = "Component Task"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Error Control = 00000000

HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Objec tName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Descr iption = ""
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Param eters\ServiceDll = "%System%"


كما تقوم الدودة بحذف المجلدات التالية من الـ Registry:


HKLM\Software\Microsoft\Windows\CurrentVersion\exp lorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Windows Defender


فتعطل Windows Security Center بالاضافة لـ Windows Defender وتمنع المستخدم من استخدام الوضع الآمن Safe mode كما تحذف جميع نقاط الاستعادة في نظام ويندوز بحيث تمنع المستخدم من استرجاع وضع النظام لوقت سابق هذا بالاضافة لتعطيل العديد من الخدمات ومنع بعض البرامج من العمل في النظام مثل:

autoruns, confick, downad, filemon, gmer, hotfix, ms08-06, procexp, procmon, regmon, sysclean, tcpview, unlocker, wireshark...

كما تقوم الدودة بأستخدام الـ Windows API's التالية .. لتراقب اتصالك وتمنعك من تصفح المواقع الحماية:


Query_Main
DnsQuery_W
DnsQuery_UTF8
DnsQuery_A
sendto


بالطبع هيه تقوم بذالك لكي تمنع من متابعة مواقع الأمن المعلوماتي, لمراجعة أخر الأخبار الأمنية, تحميل أدوات أمنية, تحميل التحديثات وتقوم أيضاً بتنقيح الروابط والمواقع التي تحاول فتحها في المتصفح, مثل:


avg.
kav.
msft.
sans.
anti-
avast
conficker
defender
drweb
etrust
f-secure
kaspersky
malware
mcafee
microsoft
nod32
norton
onecar
panda
symantec
wilderssecurity
windowsupdate


وهنا أذا قمت بطلب رابط يحتوي على ماسبق, لن تستطيع المواصلة وسوف يتم منعك من تصفح محتوى الموقع!

أما من يسأل عن سبب هذا الانتشار الكبير للدودة يعود السبب لوجود ثغرة خطيرة تم اكتشافها في نظام ويندوز (MS08-067) تسمح باختراق النظام عن بعد عن طريق استغلال ثغرة Buffer overflow في احدى خدمات النظام, لذلك أنصح بتحديث النظام بأسرع مايمكن وللأسف حتى الأن لا أستطيع أن أقول لكم اعتمدو على مكافح فيروسات معين .. فالدودة تتحدث باستمرار وتقوم بايقاف عمل مضاد الفيروسات وتمنع تحديثه! ولكن ان رأيت في الجهاز شيء من ماقيل سابقاً, عليك أن تتأكد من سلامة الجهاز.. فالأمر خطير ولا يستهان به...

الرجوا منكم الدعاء فقط
الرجوع الى أعلى الصفحة اذهب الى الأسفل
https://aloukhowa.hooxs.com
 
بحت حول خبايا دودة Conficker
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتدى الأخوة :: منوعات المنتدى :: منتدى الحاسوب و الأنترنت-
انتقل الى: