ماذا تعرف عن فيروس كونفيكر و كيف تتخلص منه

الفيروس يستخدم هجمات الBrute Force Attack لإستخراج كلمات المرور من أجهزة الكمبيوتر و الشبكات الداخلية للمنشأت المصابة بالفيروس.
و يحذر خبراء مستخدمي أجهزة الكمبيوتر و مدراء الشبكات من استخدام كلمات مرور ضعيفة ويمكن التنبؤ بها (كلمات مشهورة، أسماء خاصة، تورايخ الميلاد، وغيرها) والتي قد تساعد في نشر هذا الفيروس ووضع أجهزة الكمبيوتر وموارد المنشأة تحت رحمة المهاجمين (Attackers).
هذا الفيروس من فعاليته خلال الشهور القادمة بحيث يتمكن من تحميل (Payload) برامج خبيثة أخرى إلى أجهزة الكمبيوتر المصابة ونشر نفسه من خلال مجلدات المشاركة في شبكات نظام ويندوز".
فيروس كونفيكر(Conficker): أو ما يعرف أيضاً بـ Kido أو Downup أو Downadup ، هو فيروس يصيب أجهزة الكمبيوتر التي تعمل على أحد أنظمة مايكروسوفت ويندوز، إذ يقوم بنشر نفسه خلال الشبكات المتصلة مستغلاً نقاط الضعف الموجودة في خدميات خوادم ويندوز (Windows Server services) وذلك بدمج بعض الشفرات التنفيذية (Executable Codes) إلى بعض المكتبات المتصلة الديناميكية (Dynamical Linked Libraries - DLL) لهذه الخدميات.
للفيروس خمسة إصدارات تختلف في كيفية الإصابة بها وتأثيرها على النظام، ظهر أولها في شهر نوفمبر عام 2008 والمسمى (Conficker.A)، وأخرها في أبريل هذا العام (2009) والمسمى (Conficker.E). كل إصدار من فيروس كونفيكر يقوم بإستثمار المنافذ والشفرات التي تم زرعها مسبقاً من خلال الإصدارات السابقة للفيروس في الأجهزة المصابة.
واشتهر فيروس كونفيكر بصعوبة إكتشافه من قِبل خبراء الأمن و مشغلي الشبكات، وذلك لإستخدامه مركبات مختلفة من التقنيات المتقدمة في صناعة البرامج الخبيثة.
وتتعامل شركات البرمجيات وأمن المعلومات مع الفيروس بمسميات مختلفة، ومنها:
الإسم المستخدم
إسم الشركة
Win32/Conficker.version (A,B,C,D or E)
Microsoft, CA, ESET, Norman
Win32.Worm.Downadup.A
BitDefender
Net-Worm.Win32.Kido.js
KasperSky
Torjon.Disken.B
VirusBuster
WORM_DOWNAD
Trend Micro
من حوادثها: في منتصف يناير من هذا العام (2009)، صرحت البحرية الفرنسية بأن جزء من شبكة الحواسيب التي تملكها تعطلت بشكل تدريجي وذلك بسبب أصابتها بفيروس كونفيكر، مما أدى إلى شل حركة الطائرات في القواعد الجوية التابعة لها، وذلك لعدم تمكنهم من تحميل خطط سير الطائرات.
وفي شهر مارس، تسربت مذكرة لأحد مدراء البرلمان البريطاني تفيد بأنه في الرابع والعشرين من الشهر، أصيب عدد من أجهزة الكمبيوتر في مجلس العموم البريطاني (House of Common) بفيروس كونفيكر، وجاء في المذكرة بأن المجلس حذر المستخدمين من إيصال أي أجهزة غير مصرح لها بالشبكة.
في الأجزاء التالية من المقال، سنتناول شرح مكونات الإصدار (E) من الفيروس كونفيكر وطريقة عمله وإنتشاره و نواتجه؛ بما أنه الإصدار الأحدث والأكثر ضجة إعلامية.
التنزيل (Installation): تختلف الإصدارات من الفيروس كونفيكر في طريق التنزيل أو التحميل. يتضمن الإصدار (E) من فيروس كونفيكر ثلاثة مكونات أساسية، هي:
1) ملف .EXE التنفيذي (Worm:Win32/Conficker.E):
والذي يحتوي على الشفرة المؤثرة على الجهاز (Exploit Code)، بلإضافة إلى منهجية الإنتشار.
2) ملف .DLL المُسقِط Dropper (Worm:Win32/Conficker.E):
والذي يتم تحميله و فك شفرته عن طريق الملف .EXE ، ويقوم بإسقاط ملف .DLL التالي.
3) ملف .DLL المكون (Worm:Win32Conficker.E.dll):
يحتوي على ملفات التشغيل والانتشار.
عند تشغيل الملف .EXE التنفيذي، يقوم بإسقاط وتشغيل الملف .DLL dropper والذي يقوم بدوره بتحميل ملف المكونات وتشغيلها على الجهاز.
طريقة الإنتشار: يقوم فيروس كونفيكر بنشر نفسه إلى أجهزة الكمبيوتر الأخرى بإستخدام أحد الطرق التالية:
1) ملفات المشاركة في شبكات ويندوز: عن طريق كسر كلمات المرور الضعيفة. وإسقاط ملفات ال DLL في أجهزة الكمبيوتر المستهدفة بإستخدام مؤهلات المستخدم الحالي (المصاب بالفيروس).
2) محركات التخزين القابلة للإزاحة: والتي تتصل بأجهزة الكمبيوتر عن طريق المنافذ عالمية التسلسل (USP)، وذلك بإخفاء إختيار التشغيل الذاتي (AutoRun)، وبذلك إجبار المستخدم لتشغيل ملفات الفيروس بمجرد فتح ملفات محرك التخزين.
3) استغلال نقاط الضعف في ملفات خدمات خادم ويندوز (Windows Server Service – srvsvc): وبالأخص تلك الأجهزة الغير محصنة ضد الثغرات المذكورة في نشرة ميكروسوفت
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
(يمكن الحصول على التحديثات من الرابط). إذا تم استغلال هذه الثغرات من قبل الفيروس، يقوم الفيروس بتحميل نسخة محدثة منه باستخدام الجهاز المستضيف (المصاب) عن طريق البروتوكول HTTP والذي يستخدم منفذ TCP الذي يتم فتحه مسبقاً من قِبل الفيروس في الجهاز المصاب.
ولجعل عملية إكتشاف أو تحليل الفيروس عملية صعبة جداً، يقوم الفيروس بإستخدام دالة هاش (Hash Function) لتشفير أرقام المنافذ عن عناوين ال IP لكل من الجهاز المصاب والجهاز المستهدف.حمولات الفيروس (Payloads):
1) السيطرة على محرك ال TCP/IP (tcpip.sys): وذلك لزيادة ورفع عدد الإتصالات (connections) المسموح بها في جهاز الكمبيوتر المصاب. يستخدم الفيروس هذه الطريقة من السيطرة لمنع أو تجاهل الحصول على خدمة حماية ملفات ويندوز (Windows File Protection).
2) توقيف العمليات: يقوم الفيروس بفحص قائمة العمليات (Process List) كل ثانية واحدة، لإيقاف العمليات أو البرامج التي تتضمن مسميات تدل على الحماية، مثل:
autoruns - "Autoruns" program
avenger - kernel-mode security program
filemon - "File Monitor" program
gmer - rootkit detection program
kb958 - Microsoft KB article, includes MS08-067
klwk - Kaspersky program
mbsa. - "Microsoft Baseline Security Analyzer" program
ms09 - Microsoft Security Updates released in 2009
regmon - "Registry Monitor" program
tcpview - tool used to view TCP connection and traffic
wireshark - network protocol analyzer tool
3) محاولة الإتصال بشبكة الإنترنت: يقوم الفيروس بفحص مستمر لقنوات الإتصال للحصول على قناة متصلة بشبكة الإنترنت، وذلك بفحص أحد المواقع التالية:
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
4) منع نطاق العناوين الرقمية المميزة وتصفيتها ( -Domain Blocking / IP Filtering): يقوم الفيروس بمنع الوصول إلى بعض نطاق العناوين الرقمية المميزة لأجهزة الحاسب (IP Addresses). كما يقوم بتعليق المكتبة DNSAPI.dll وذلك لمنع الوصول إلى مواقع الانترنت التي تحمل في عناوينها (URL) بعض المصطلحات التي تشير إلى محاولة الوصول إلى تحديثات للنظام أو برامج مكافحة الفيروسات أو مواقع الفحص النشط على الإنترنت، مثل المصطلحات التالية:
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
free-av
freeav
fsecure
gdata
grisoft
hackerwatch
hacksoft
hauri
centralcommand
clamav
comodo
computerassociates
confick
coresecur
cpsecure
cyber-ta
defender
downad
doxpara
drweb
dslreports
emsisoft
enigma
activescan
adware
agnitum
ahnlab
anti-
antivir
arcabit
av-sc
avast
avgate
avira
bdtools
bothunter
castlecops
ccollom
5) تحديد العنوان الرقمي المميز الخارجي (External IP Address) للجهاز المستضيف: وذلك بالاتصال بشكل دوري على أحد المواقع التالية:
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
checkip.dyndns.org
checkip.dyndns.com
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
6) فتح منافذ TCP في الجهاز المستضيف: يستخدم الفيروس كونفيكر البروتوكول (Simple Server Domain Protocol – SSDP) للبحث عن أدوات خاصة ببوابات الإنترنت ( مثل الموجهات -routers) ثم يقوم بإصدار أوامر SOAP Commands على الجهاز المستضيف، والتي تسمح بتنفيذ إجراءات عن بعد باستخدام بروتوكول HTTP و تحميل ملفات XML. تقوم هذه الأوامر بفتح منفذ TCP خارجي ثم يعيد توجيهه إلى منفذ IP داخلي (internal IP:port)، الذي يؤدي إلى ظهور مشاكل في قنوات الاتصال إما التي تحتوي على حزم بيانات كثيرة أو تلك التي نادراً مل تستخدم.
7) التدمير الذاتي في تاريخ 3 مايو 2009.
طرق الحماية: يمكن للمستخدم حماية نفسه من الفيروس كونفيكر بجميع إصداراته، بإتباع الطرق والمنهجيات التالية:
1) استخدام أحد برمجيات جدار الحماية (Firewall) أو تفعيل خدمة Microsoft Windows Internet Connection Firewall.
2) الحصول على أخر تحديثات لنظام ويندوز المستخدم، وخصوصاً التحديث المتضمن لنشرة Microsoft Security Bulletin MS08-067.
3) استخدام برامج الحماية من الفيروسات (Anti-Virus) والحرص على تحديثها بشكل دوري.
4) الحذر عند فتح الملحقات (Attachments) و الملفات المنقولة والإرتباطات الناقلة لصفحات ويب أخرى. والتأكد من أن الصفحات التي تطلب كلمات المرور تستخدم إحدى طرق تشفير البيانات، وذلك بالتأكد من وجود علامة القفل في أسفل الصفحة.
5) تفادي إستخدام البرمجيات المقرصنة وغير معروفة المصدر.
6) إستخدام كلمات مرور قوية لأجهزة الكمبيوتر والشبكات ( غير قابلة للتنبؤ وتتكون -على الأقل- من 8 خانات مركبة من حروف وأرقام ورموز). لمزيد من المعلومات حول كيفية وضع كلمات المرور، زر الموقع:
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
7) الحذر من هجمات الهندسة الاجتماعية.http://www.microsoft.com/protect/terms/socialengineering.aspx
قد لا تتمكن الأجهزة المصابة بفيروس كونفيكر من الوصول لبعض مواقع الإنترنت أو الحصول على التحديثات للنظام أو برمجيات كافحة الفيروسات والجدار النارية، لهذا على الشخص استخدام أحد أجهزة الكمبيوتر الغير مصابة بالفيروس وتحميل التحديثات اللازمة ثم نقلها إلى الجهاز المصاب وتشغيلها.