نبراس
07 -11- 2003, 07:39 AM
يبدو أن مستخدم الكبميوتر لن يكتب له الإحساس بالراحة والأمان من الفيروسات وأشباهها، فلم يكد يختفي شبح الدودة المسماة بفيروس الحب حتى حذرت – وعلى مدار يومين متاليين – عدة جهات متخصصة في أمن المعلومات ومكافحة الفيروسات من انتشار دودة بلاستر التي أصابت عشرات آلاف أجهزة الكمبيوتر بالعالم وتسببت بخسائر فادحة، وأشارت إلى أن الدودة المسماة W32/Blaster-A تنتشر انتشار النار بالهشيم وبسرعة مذهلة بين مستخدمي الكمبيوتر حول العالم. وتضمنت بعض التقارير أن هذه الدودة تعرف بعدة أسماء منها :
W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, Win32.Poza, Worm/Lovsan.A
http://www.ma3refah.org/lessons/images/gates.jpg
الطريف بالأمر أن صانع الدودة قد وجه رسالة ساخرة لبيل غيتس رئيس شركة مايكروسوفت قال له من خلالها :
كف عن جمع المال وأصلح عيوب برامجك!.
تدابير شركة مايكروسوفت :
أوضحت شركة مايكروسوفت أن هذه الدودة لا تصيب إلا أنظمة التشغيل التي تعتمد خدمة RPC وهي WindowsNT4.0 و 2000 و WindowsXP و Windows2003 حسبما ذكرت ذلك شركة مايكروسوفت التي سارعت إلى توفير رقعة أمان، وذكر المتحدث باسم مايكروسوفت إلى أن الشركة تقوم حالياً باتخاذ التدابير اللازمة لحماية الموقع وتحصينه ضد أي هجمات محتملة.
شركة Symantec :
يقول الفريد هوغر كبير مهندسي شركة سيمانتك المتخصصة في مجال أمن المعلومات ومكافحة الفيروسات إن الدودة تحمل نوعين من الأوامر، الأول خاص بأنظمة تشغيل Windows2000 وهي الأوسع انتشاراً، بينما الثاني موجه لمستخدمي أنظمة تشغيل WindowsXP .
شركة Sophos :
شركة صوفوس الشهيرة في مجال مكافحة الفيروسات أشارت إلى معلومة هامة وهي أن دودة بلاستر لا تنتشر عبر البريد الإلكتروني، وإنما تنتشر من خلال الثغرات الموجودة بأنظمة بعض مستخدمي الإنترنت، وأهابت بجميع مستخدمي أنظمة ويندوز 2000 وإكس بي ضرورة سد الثغرة الأمنية عن طريق تركيب الرقعة الموجودة في موقع تحديث مايكروسوفت.
آلية الانتشار :
هناك فيروس من فئة أحصنة طروادة اسمه Exploit-DcomRpc يخدم هذه الدودة حيث يقوم بعمل مسح عشوائي على عناوين الآي بي للبحث عن أي أنظمة ضعيفة التي تعمل على TCP وعبر المنفذ 135، وعند العثور على جهاز الضحية يقوم باستغلال ثغرة RPC ومن ثم إنشاء قشرة عن بعد على TCP وفتح منفذ 4444 ثم تحميل الدودة إلى نظام ويندوز حيث تقوم بإصابة ملف TFTP.EXE الموجود داخل مجلد System32 في دليل ويندوز.
أعراض الإصابة :
عند إصابة جهازك بدودة بلاستر ستظهر لك نافذة صغيرة (كالشكل الموضح بالصورة أدناه) وتشعرك بأنه سيتم إعادة تشغيل جهازك خلال 60 ثانية ثم تقوم بالعد التنازلي ويتناقص هذا العدد .
http://www.ma3refah.org/lessons/images/symantec_1.jpg
الوقاية :
بعد أن عرفنا الوسيلة التي تستغلها هذه الدودة في الانتشار من خلال الثغرات بأنظمة ويندوز أصبح بمقدورنا الوقاية من شر الإصابة بها، فيجب على المستخدم الاتجاه الآن مباشرة إلى موقع مايكروسوفت لسد الثغرة باستخدام الرقعة المناسبة لنظامك. وفيما يلي بيان تفاصيل الترقيع :
أولاً - ترقيع نظام التشغيل :
( أ ) الأنظمة ذات الواجهة العربية :
WindowsNT4.0
Windows2000
Windows XP
(ب) الأنظمة ذات الواجهة الإنجليزية :
Windows XP 32 bit
Windows XP 64 bit
Windows Server 2003
ثانياً - ترقيع المتصفح الإصدار السادس :
أصدرت مايكروسوفت حزمة للتصحيحات التراكمية لمتصفح Internet Explorer 6.0 وهي مبينة على النحو التالي :
المتصفح ذو الواجعة العربية.
المتصفح ذو الواجعة الإنجليزية .
وبذلك تضمن أن الدودة لن تصيب جهازك، ويجب التنبيه هنا إلى أن هذه الرقعة ستحتاج تركيبها كلما قمت بتركيب ويندوز . كما أن أنظمه ويندوز 98 وميلينيوم والماكنتوش واللينكس غير معرضة للإصابة بهذه الدودة.
العلاج :
إن كان نظام التشغيل لديك ويندوز 2000 أو XP فغالباً سيصاب جهازك بمجرد اتصالك بالإنترنت، وحظوظ الإصابة ستكون أكبر عند محاولتك الاتصال بموقع شركة مايكروسوفت. وسيمنعك من عملية تحميل الرقع، لذلك يجب اتخاذ الإجراءات التالية :
أولاً - إيقاف نشاط الفيروس :
يتم تكتيف الفيروس بتعطيل عمل خدمة Remote Procedure Call (RPC) من خلال اتباع الخطوات التالية :
1. اضغط على أيقونة جهاز الكمبيوتر بزر الماوس الأيمن لتظهر لك قائمة منسدلة تشتمل على مجموعة من الوظائف، اختر منها الوظيفة الرابعة وهي وظيفة إدارة والتي توضحها الصورة التالية :
http://www.ma3refah.org/lessons/images/rpc01.PNG
لتظهر لك شاشة إدارة الكمبيوتر وهي المبينة بالصورة الموضحة أدناه :
http://www.ma3refah.org/lessons/images/rpc02.PNG
حيث سنختار منها الخدمات والتطبيقات بأن نضغط على علامة + لتظهر المهام المندرجة تحتها، ثم نقوم باختيار الخدمات والتي يشير إليها الرقم (1) لتظهر لنا جميع الخدمات ومنها خدمة Remote Procedure Call (RPC) المحاطة بالمستطيل الأحمر الذي يشير إليه الرقم (2) فنقوم بالضغط عليها بالزر الأيمن واختيار خصائص ، أو نقوم بالنقر المزدوج عليها لتظهر لنا شاشة الخصائص والتي تبينها الصورة التالية :
http://www.ma3refah.org/lessons/images/rpc03.PNG
والتي سنختار منها لسان التبويب (استرداد) حيث نبدل إجراءات الفشل من إعادة التشغيل إلى عدم اتخاذ أي إجراء وهي المحاطة بالمستطيل الأحمر ، ثم نضغط زر تطبيق وموافق وبذلك لن يكون بإمكان الفيروس القيام بإعادة تشغيل الجهاز.
ثانياً - الاتصال بموقع مايكروسوفت :
وذلك من أجل تحميل الرقعة المناسبة لنظام التشغيل وكذلك رقعة المتصفح، وتنصيبها والسماح للجهاز بإعادة التشغيل لتطبيق التغييرات.
ثالثاً - تحميل أداة إزالة الدودة :
تقريباً أغلب شركات إنتاج برامج مكافحة الفيروسات الشهيرة أنتجت أدوات لإزالة الدودة، وسنختار أقواها وأسهلها وهي الأداة التي أنتجتها شركة سيمانتيك Symantec الصانعة لبرنامج Norton AntiVirus الأكثر شعبية ، ويمكن الحصول على هذه الأداة من خلال الوصلة التالية :
http://securityresponse.symantec.com/avcenter/FixBlast.exe
وتوضحها الصورة التالية :
http://www.ma3refah.org/lessons/images/blasterFix.PNG
حيث يتم تشغيلها بالضغط على زر Start .
فإن كان جهازك مصاباً بهذه الدودة فسوف تظهر لك شاشة كالمبينة في الصورة أدناه تخبرك بعدد الملفات المصابة ونجاح إجراء الإزالة .
http://www.ma3refah.org/lessons/images/symantec_2.jpg
وبذلك يذهب هذا الكابوس إلى غير رجعة.
نقطة أخيرة أحب أن أنوه إليها ، وهي ضرورة متابعة تحديثات ويندوز ، فالدودة قد رمز لها بالحرف A وهذا يعني أن هناك أجيال متطورة منها ستظهر وأتوقع أن تكون موجهة لثغرات ويندوز والمتصفح، لذلك وجب أخذ الحذر.
W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, Win32.Poza, Worm/Lovsan.A
http://www.ma3refah.org/lessons/images/gates.jpg
الطريف بالأمر أن صانع الدودة قد وجه رسالة ساخرة لبيل غيتس رئيس شركة مايكروسوفت قال له من خلالها :
كف عن جمع المال وأصلح عيوب برامجك!.
تدابير شركة مايكروسوفت :
أوضحت شركة مايكروسوفت أن هذه الدودة لا تصيب إلا أنظمة التشغيل التي تعتمد خدمة RPC وهي WindowsNT4.0 و 2000 و WindowsXP و Windows2003 حسبما ذكرت ذلك شركة مايكروسوفت التي سارعت إلى توفير رقعة أمان، وذكر المتحدث باسم مايكروسوفت إلى أن الشركة تقوم حالياً باتخاذ التدابير اللازمة لحماية الموقع وتحصينه ضد أي هجمات محتملة.
شركة Symantec :
يقول الفريد هوغر كبير مهندسي شركة سيمانتك المتخصصة في مجال أمن المعلومات ومكافحة الفيروسات إن الدودة تحمل نوعين من الأوامر، الأول خاص بأنظمة تشغيل Windows2000 وهي الأوسع انتشاراً، بينما الثاني موجه لمستخدمي أنظمة تشغيل WindowsXP .
شركة Sophos :
شركة صوفوس الشهيرة في مجال مكافحة الفيروسات أشارت إلى معلومة هامة وهي أن دودة بلاستر لا تنتشر عبر البريد الإلكتروني، وإنما تنتشر من خلال الثغرات الموجودة بأنظمة بعض مستخدمي الإنترنت، وأهابت بجميع مستخدمي أنظمة ويندوز 2000 وإكس بي ضرورة سد الثغرة الأمنية عن طريق تركيب الرقعة الموجودة في موقع تحديث مايكروسوفت.
آلية الانتشار :
هناك فيروس من فئة أحصنة طروادة اسمه Exploit-DcomRpc يخدم هذه الدودة حيث يقوم بعمل مسح عشوائي على عناوين الآي بي للبحث عن أي أنظمة ضعيفة التي تعمل على TCP وعبر المنفذ 135، وعند العثور على جهاز الضحية يقوم باستغلال ثغرة RPC ومن ثم إنشاء قشرة عن بعد على TCP وفتح منفذ 4444 ثم تحميل الدودة إلى نظام ويندوز حيث تقوم بإصابة ملف TFTP.EXE الموجود داخل مجلد System32 في دليل ويندوز.
أعراض الإصابة :
عند إصابة جهازك بدودة بلاستر ستظهر لك نافذة صغيرة (كالشكل الموضح بالصورة أدناه) وتشعرك بأنه سيتم إعادة تشغيل جهازك خلال 60 ثانية ثم تقوم بالعد التنازلي ويتناقص هذا العدد .
http://www.ma3refah.org/lessons/images/symantec_1.jpg
الوقاية :
بعد أن عرفنا الوسيلة التي تستغلها هذه الدودة في الانتشار من خلال الثغرات بأنظمة ويندوز أصبح بمقدورنا الوقاية من شر الإصابة بها، فيجب على المستخدم الاتجاه الآن مباشرة إلى موقع مايكروسوفت لسد الثغرة باستخدام الرقعة المناسبة لنظامك. وفيما يلي بيان تفاصيل الترقيع :
أولاً - ترقيع نظام التشغيل :
( أ ) الأنظمة ذات الواجهة العربية :
WindowsNT4.0
Windows2000
Windows XP
(ب) الأنظمة ذات الواجهة الإنجليزية :
Windows XP 32 bit
Windows XP 64 bit
Windows Server 2003
ثانياً - ترقيع المتصفح الإصدار السادس :
أصدرت مايكروسوفت حزمة للتصحيحات التراكمية لمتصفح Internet Explorer 6.0 وهي مبينة على النحو التالي :
المتصفح ذو الواجعة العربية.
المتصفح ذو الواجعة الإنجليزية .
وبذلك تضمن أن الدودة لن تصيب جهازك، ويجب التنبيه هنا إلى أن هذه الرقعة ستحتاج تركيبها كلما قمت بتركيب ويندوز . كما أن أنظمه ويندوز 98 وميلينيوم والماكنتوش واللينكس غير معرضة للإصابة بهذه الدودة.
العلاج :
إن كان نظام التشغيل لديك ويندوز 2000 أو XP فغالباً سيصاب جهازك بمجرد اتصالك بالإنترنت، وحظوظ الإصابة ستكون أكبر عند محاولتك الاتصال بموقع شركة مايكروسوفت. وسيمنعك من عملية تحميل الرقع، لذلك يجب اتخاذ الإجراءات التالية :
أولاً - إيقاف نشاط الفيروس :
يتم تكتيف الفيروس بتعطيل عمل خدمة Remote Procedure Call (RPC) من خلال اتباع الخطوات التالية :
1. اضغط على أيقونة جهاز الكمبيوتر بزر الماوس الأيمن لتظهر لك قائمة منسدلة تشتمل على مجموعة من الوظائف، اختر منها الوظيفة الرابعة وهي وظيفة إدارة والتي توضحها الصورة التالية :
http://www.ma3refah.org/lessons/images/rpc01.PNG
لتظهر لك شاشة إدارة الكمبيوتر وهي المبينة بالصورة الموضحة أدناه :
http://www.ma3refah.org/lessons/images/rpc02.PNG
حيث سنختار منها الخدمات والتطبيقات بأن نضغط على علامة + لتظهر المهام المندرجة تحتها، ثم نقوم باختيار الخدمات والتي يشير إليها الرقم (1) لتظهر لنا جميع الخدمات ومنها خدمة Remote Procedure Call (RPC) المحاطة بالمستطيل الأحمر الذي يشير إليه الرقم (2) فنقوم بالضغط عليها بالزر الأيمن واختيار خصائص ، أو نقوم بالنقر المزدوج عليها لتظهر لنا شاشة الخصائص والتي تبينها الصورة التالية :
http://www.ma3refah.org/lessons/images/rpc03.PNG
والتي سنختار منها لسان التبويب (استرداد) حيث نبدل إجراءات الفشل من إعادة التشغيل إلى عدم اتخاذ أي إجراء وهي المحاطة بالمستطيل الأحمر ، ثم نضغط زر تطبيق وموافق وبذلك لن يكون بإمكان الفيروس القيام بإعادة تشغيل الجهاز.
ثانياً - الاتصال بموقع مايكروسوفت :
وذلك من أجل تحميل الرقعة المناسبة لنظام التشغيل وكذلك رقعة المتصفح، وتنصيبها والسماح للجهاز بإعادة التشغيل لتطبيق التغييرات.
ثالثاً - تحميل أداة إزالة الدودة :
تقريباً أغلب شركات إنتاج برامج مكافحة الفيروسات الشهيرة أنتجت أدوات لإزالة الدودة، وسنختار أقواها وأسهلها وهي الأداة التي أنتجتها شركة سيمانتيك Symantec الصانعة لبرنامج Norton AntiVirus الأكثر شعبية ، ويمكن الحصول على هذه الأداة من خلال الوصلة التالية :
http://securityresponse.symantec.com/avcenter/FixBlast.exe
وتوضحها الصورة التالية :
http://www.ma3refah.org/lessons/images/blasterFix.PNG
حيث يتم تشغيلها بالضغط على زر Start .
فإن كان جهازك مصاباً بهذه الدودة فسوف تظهر لك شاشة كالمبينة في الصورة أدناه تخبرك بعدد الملفات المصابة ونجاح إجراء الإزالة .
http://www.ma3refah.org/lessons/images/symantec_2.jpg
وبذلك يذهب هذا الكابوس إلى غير رجعة.
نقطة أخيرة أحب أن أنوه إليها ، وهي ضرورة متابعة تحديثات ويندوز ، فالدودة قد رمز لها بالحرف A وهذا يعني أن هناك أجيال متطورة منها ستظهر وأتوقع أن تكون موجهة لثغرات ويندوز والمتصفح، لذلك وجب أخذ الحذر.