‏كوبوت‏ ‏إل‏ ‏فيروس‏ ‏ينتشر‏ ‏عبر‏ ‏برامج‏ ‏التراسل

smile · #1 05-05-2005

يعتبر‏ ‏هذا‏ ‏الفيروس‏ ‏من‏ ‏نوع‏ ‏الدودة‏ ‏التي‏ ‏تنتشر‏ ‏علي‏ ‏شبكات‏ ‏الحاسبات‏ ‏الإلكترونية‏ ‏مستغله‏ ‏المجلدات‏ ‏التي‏ ‏لها‏ ‏خاصية‏ ‏المشاركة‏ Sharing ‏بين‏ ‏أكثر‏ ‏من‏ ‏مستخدم‏ ‏وغير‏ ‏المحمية‏ ‏بكلمة‏ ‏سر‏ ‏للدخول‏ ‏عليها‏, ‏يستخدم‏ ‏هذا‏ ‏الفيروس‏ ‏طريقة‏ ‏غريبة‏ ‏لكي‏ ‏يتصل‏ ‏بالشخص‏ ‏الذي‏ ‏قام‏ ‏بتطويره‏, ‏فعندما‏ ‏يصل‏ ‏الفيروس‏ ‏إلي‏ ‏الحاسب‏ ‏المصاب‏ ‏ينتظر‏ ‏إلي‏ ‏أن‏ ‏يبدأ‏ ‏المستخدم‏ ‏في‏ ‏التعامل‏ ‏مع‏ ‏شبكة‏ ‏الإنترنت‏, ‏ثم‏ ‏يقوم‏ ‏باستخدام‏ ‏بروتوكول‏ ‏غرف‏ ‏الدردشة‏ IRC ‏لكي‏ ‏يستطيع‏ ‏الاتصال‏ ‏بمطور‏ ‏الفيروس‏, ‏

ومن‏ ‏خلال‏ ‏هذا‏ ‏الاتصال‏ ‏يقوم‏ ‏باستقبال‏ ‏بعض‏ ‏البرامج‏ ‏الأخري‏ ‏التي‏ ‏تساعده‏ ‏علي‏ ‏إنجاز‏ ‏الأعمال‏ ‏التدميرية‏ ‏المكلف‏ ‏بها‏, ‏يستغل‏ ‏هذا‏ ‏الفيروس‏ ‏ثغرة‏ ‏أمنية‏ ‏موجودة‏ ‏في‏ ‏نظم‏ ‏النوافذ‏ ‏التي‏ ‏لا‏ ‏يتم‏ ‏تحديثها‏ ‏بشكل‏ ‏منتظم‏ ‏من‏ ‏علي‏ ‏شبكة‏ ‏الإنترنت‏, ‏وهذه‏ ‏الثغرة‏ ‏تسمح‏ ‏لبعض‏ ‏أنواع‏ ‏الفيروسات‏ ‏بالنفاذ‏ ‏إلي‏ ‏الحاسب‏ ‏دون‏ ‏تدخل‏ ‏من‏ ‏المستخدم‏ ‏ودون‏ ‏أن‏ ‏يدري‏, ‏هذه‏ ‏الثغرة‏ ‏الأمنية‏ ‏يطلق‏ ‏عليها‏ ‏كود‏ MS04-011 ‏ويمكن‏ ‏الحصول‏ ‏علي‏ ‏بيانات‏ ‏تفصيلية‏ ‏عنها‏ ‏من‏ ‏الموقع‏ ‏التالي‏ :‏

http://www.microsoft.com/technet/sec.../MS04-011.mspx

عندما‏ ‏يصيب‏ ‏الفيروس‏ ‏الحاسب‏ ‏فإنه‏ ‏قد‏ ‏يتسبب‏ ‏في‏ ‏إعادة‏ ‏تشغيل‏ ‏الحاسب ‏Reboot ‏وعندما‏ ‏يعمل‏ ‏الحاسب‏ ‏تظهر‏ ‏للمستخدم‏ ‏نافذة‏ ‏بحدوث‏ ‏خطأ‏, ‏وتظهر‏ ‏بالنافذة‏ ‏العبارة‏ ‏التالية‏ LSA shell error .‏

خطوات‏ ‏الفيروس‏ ‏داخل‏ ‏الحاسب‏ :‏
‏* ‏فور‏ ‏إصابة‏ ‏الحاسب‏ ‏بالفيروس‏ ‏فإنه‏ ‏يقوم‏ ‏بإنشاء‏ ‏برنامج‏ ‏من‏ ‏نوعية‏ mutex ‏لكي‏ ‏يتأكد‏ ‏من‏ ‏أن‏ ‏نسخة‏ ‏واحدة‏ ‏فقط‏ ‏من‏ ‏الفيروس‏ ‏سوف‏ ‏تعمل‏ ‏علي‏ ‏الحاسب‏ ‏حتي‏ ‏لا‏ ‏يتسبب‏ ‏تعدد‏ ‏النسخ‏ ‏في‏ ‏تضارب‏ ‏المهام‏ ‏التي‏ ‏يقوم‏ ‏بها‏ ‏الفيروس‏.‏
‏
‏* ‏يقوم‏ ‏الفيروس‏ ‏بإنشاء‏ ‏ملف‏ ‏باسم‏ Desktop.exe ‏ويضعه‏ ‏في‏ ‏مجلد‏ ‏النوافذ‏. ‏ثم‏ ‏يقوم‏ ‏الفيروس‏ ‏بتعديل‏ ‏ملفات‏ ‏النظام‏ Registry File ‏لكي‏ ‏يتم‏ ‏تشغيل‏ ‏ملف ‏Desktop.exe ‏في‏ ‏كل‏ ‏مرة‏ ‏يتم‏ ‏فيها‏ ‏تشغيل‏ ‏الحاسب‏.‏

الآثار‏ ‏التدميرية‏:‏
‏‏* ‏يقوم‏ ‏الفيروس‏ ‏بالتحكم‏ ‏في‏ ‏تشغيل‏ ‏وإيقاف‏ ‏الاتصال‏ ‏بشبكة‏ ‏الإنترنت‏ ‏والتحكم‏ ‏في‏ ‏العنوان‏ ‏الرقمي‏ IP Address ‏للمستخدم‏.‏
‏
‏* ‏تنزيل‏ ‏ملفات‏ ‏من‏ ‏علي‏ ‏شبكة‏ ‏الإنترنت‏ ‏مستغلا‏ ‏بروتوكول‏ IRC ‏للدردشة‏.‏
‏
‏* ‏يقوم‏ ‏الفيروس‏ ‏بتشغيل‏ ‏الملفات‏ ‏التي‏ ‏يقوم‏ ‏بتنزيلها‏ ‏من‏ ‏علي‏ ‏شبكة‏ ‏الإنترنت‏ ‏ومعظم‏ ‏هذه‏ ‏الملفات‏ ‏هي‏ ‏لبرامج‏ ‏تقوم‏ ‏بإحداث‏ ‏آثار‏ ‏تخريبية‏ ‏علي‏ ‏الحاسب‏.‏
‏
‏* ‏يقوم‏ ‏بتشغيل‏ ‏الحاسب‏ ‏المصاب‏ ‏كحاسب‏ ‏خادم‏ ‏لخدمة‏ ‏تبادل‏ ‏الملفات ‏ FTP Server ‏لكي‏ ‏يتمكن‏ ‏بسهولة‏ ‏من‏ ‏استقبال‏ ‏وإرسال‏ ‏الملفات‏.‏
‏
‏* ‏يقوم‏ ‏بتغيير‏ ‏مستوي‏ ‏الصلاحيات‏ ‏للمستخدم‏ User Permissions ‏لكي‏ ‏يتمكن‏ ‏من‏ ‏السيطرة‏ ‏علي‏ ‏الحاسب‏ ‏والقيام‏ ‏بكل‏ ‏العمليات‏ ‏التي‏ ‏يريدها‏.‏

الوقاية‏ ‏والعلاج‏:‏
‏‏* ‏للوقاية‏ ‏من‏ ‏هذا‏ ‏الفيروس‏ ‏والأنواع‏ ‏المشابهة‏ ‏له‏ ‏يجب‏ ‏الاهتمام‏ ‏بتحديث‏ ‏نظام‏ ‏التشغيل‏ ‏باستمرار‏ ‏لسد‏ ‏الثغرات‏ ‏الأمنية‏ ‏التي‏ ‏تكتشف‏ ‏به‏.‏
‏
‏* ‏حافظ‏ ‏علي‏ ‏تحديث‏ ‏برنامج‏ ‏مقاومة‏ ‏الفيروسات‏, ‏كلما‏ ‏قمت‏ ‏بالدخول‏ ‏علي‏ ‏شبكة‏ ‏الإنترنت‏ ‏وأيضا‏ ‏اقتني‏ ‏النسخة‏ ‏الجديدة‏ ‏منه‏ ‏إذا‏ ‏ظهر‏ ‏إصدار‏ ‏أحدث‏.‏
‏
‏* ‏برامج‏ ‏مقاومة‏ ‏الفيروسات‏ ‏الحديثة‏ ‏تستطيع‏ ‏اكتشاف‏ ‏هذا‏ ‏الفيروس‏ ‏والقضاء‏ ‏عليه‏ ‏إذا‏ ‏وجدته‏ ‏علي‏ ‏حاسبك‏.‏
‏
‏* ‏إذا‏ ‏شعرت‏ ‏بسلوك‏ ‏غير‏ ‏طبيعي‏ ‏للحاسب‏, ‏فابحث‏ ‏عن‏ ‏ملف‏ Desktop.exe ‏داخل‏ ‏مجلد‏ ‏النوافذ‏ ‏فإذا‏ ‏وجدته‏ ‏فمعني‏ ‏ذلك‏ ‏أن‏ ‏حاسبك‏ ‏أصابه‏ ‏هذا‏ ‏الفيروس‏.‏

منقول
http://ait.ahram.org.eg/Index.asp?CurFN=VirI0.htm

smile · #2 05-05-2005

اسم الفيروس: ‏W32.Kobot.L‏
‏Win32.HLLW.Shodan WORM_DANSH.A
نوع الفيروس: ‏Worm‏
درجة الخطورة: متوسط
درجة الانتشار: متوسط
:تاريخ اكتشاف الفيروس ‏7/3/2005‏
الاثر التدميرى: التحكم‏ ‏في‏ ‏الحاسب‏ ‏عن‏ ‏بعد‏ ‏والحد‏ ‏كم‏ ‏عمل‏ ‏برامج‏ ‏مقاومة‏ ‏الفيروسات
طريقة الانتشار: عن‏ ‏طريق‏ ‏الشبكات
كيفية نشاط الفيروس: فور‏ ‏فتح‏ ‏ملف‏ ‏الصورة
نظم التشغيل: ‏Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP‏
مصدر الفيروس: غير‏ ‏معروف
الفيروس مشفر: غير‏ ‏معروف

عدد الأعضاء الذي يتصفحون هذا الموضوع : 1 (0 عضو و 1 ضيف)