تنتقل عبر البريد ومنصات P2P والمواقع المشبوهة

دودة DeadCat تجعل الأجهزة المصابة عرضة للاختراق

تقرير - خالد المسيهيج:

الاسم التقني: W32/DeadCat-A

النوع: دودة

أسماء أخرى: Net-Worm.Win32.Agent.e

سرعة الانتشار: عالية

درجة الخطورة: مرتفعة

التشفير: غير مشفرة

الأنظمة المستهدفة: جميع أنظمة ويندوز

الأنظمة المستثناة: أنظمة الماك، أنظمة لينكس، أنظمة يونكس

أسلوب الانتشار:

هذه الدودة تتخذ عدة طرق في انتشارها، فمن هذه الطرق الانتقال عبر منصات تبادل الملفات التناظرية Peer to peer مثل الكازا والإيدونكي وغيرها، وتسمي الملفات بأسماء إباحية كوسيلة لجذب ضحاياها، كما أنها تنزل من الملفات على هيئة ملفات مستقلة، وأغلب المواقع الإباحية ومواقع الكراك تقوم بإسقاط ملفات تجسس وفيروسات بمجرد زيارتها، كما أن من بين وسائل انتشارها الشبكات المحلية عند وجود إصابة في أحد الأجهزة المرتبطة بها. وأيضاً تنتقل عبر البريد الإلكتروني، فالدودة لديها القدرة على إرسال نفسها إلى جميع العناوين المسجلة بجهاز الضحية وستصلهم الرسائل على أنها من قبله.

آلية العمل:

هذه الدودة تعمل بشكل خفي، ومن أبرز الأعمال التي تقوم بها إنشاء ملفات قابلة للتنفيذ تضعها في مجلدات ويندوز والنظام، وفيما يلي أسماء الملفات ومسارات التشغيل:

Windows/Credit.html

Windows/System/DeadKittySpammer.vbs

Windows/System/DeadKitty.exe

ولضمان التشغيل مع بداية إقلاع النظام فإنها تعمد إلى إنشاء سطر في ملف تسجيل النظام (الريجستري) هذا السطر يأخذ الصيغة التالية :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

DeadKitty

\DeadKitty.exe

أساليب الوقاية:

كما يلاحظ من بداية التقرير أننا أوضحنا الوسائل التي تسلكها هذه الدودة في الانتشار، ونعلم جميعاً أنه إذا عرف الخلل سهل العلاج وأيضاً الوقاية، ورأينا كيف أنها تستغل بعض الخدمات المهمة التي لا غنى للمستخدم عنها مثل البريد الإلكتروني والشبكات المحلية ومنصات التبادل التناظري للملفات وبعض المواقع، لذلك فإنه من أهم وسائل السلامة ضرورة الحذر من فتح الرسائل مجهولة المصدر حتى وإن كانت عناوينها مغرية، فالفخ دائماً يوضع فيه ما يجذب، كذلك زيارة المواقع المفيدة والآمنة والبعد عن المواقع التي تبث الفساد والتي في الغالب تكون مرتعاً للكائنات الضارة، أيضاً في حالة استخدام الشبكات يجب أن تتم الاستعانة بجدران اللهب وبرامج الحماية المناسبة للوقاية من أي هجمات أو تسللات عبر منافذ اتصال الشبكة، كذلك الواجب وجود برنامج مضاد للفيروسات قوي ومحدث عند استخدام وسائل تبادل الملفات بين النظراء P2P، ومن أبرز البرامج التي يوصى باستخدامها برنامج كاسبر سكاي الروسي kaspersky.com الذي يعد من أقوى برامج الحماية وأسهلها.

ومن بين أساليب الوقاية إجراء فحص شامل للجهاز ضد الفيروسات بشكل دوري أو على الأقل مرة واحدة بالأسبوع.

ونؤكد مرة أخرى على ضرورة مداومة تحديث برنامج الحماية ليكون محصناً ضد أي فيروسات أو ديدان جديدة، فأقوى برامج الحماية من دون تحديث لا قيمة له، بل أنه عبء كبير يستهلك موارد النظام دون فائدة ترجى منه.

العلاج:

إذا ساورتك الشكوك بأن جهازك قد يكون أصيب بهذه الدودة فأول ما يجب عليك القيام به إيقاف عملية الاسترداد التلقائي للملفات، فهذه الأداة نافعة لمن لا يعاني من الفيروسات، أما الشخص الذي يتعرض باستمرار للفيروسات فإنها ستكون وبالا عليه، لأنه كلما حذف الملفات الملوثة يقوم النظام باسترجاعها عند كل عملية إقلاع جديدة، كما يمكنك إجراء فحص كامل للجهاز باستخدام الخدمات المجانية المباشرة التي تقدمها بعض مواقع الحماية المشهورة مثل خدمة WebScan التي تقدمها شركة كاسبر سكاي من خلال الموقع التالي:

kaspersky.com/virusscanner

أو أي شركة أخرى تعمل في هذا المجال، علماً بأنه يمكن فحص الجهاز باستخدام برنامج كاسبر سكاي نفسه، كما أنه من المستبعد حدوث الإصابة سواء بهذه الدودة أو غيرها إذا كان كاسبر سكاي مفعلا (بجوار الساعة) ومحدثا بشكل جيد.

وإن كنت لا تمتلك اتصالا جيدا ولا يوجد لديك برنامج حماية يمكن الاعتماد عليه فيمكنك القيام بعملية إزالة آثار الدودة يدوياً من خلال حذف الملفات التي أشرنا إليها عند حديثنا عن آلية عمل الدودة، وكذلك إزالة السطر الدخيل.

almusaihij@alriyadh.com.sa

1

احييك يا استاذ خالد على مثل هذه التقارير
أخوك/ناصر

Nasser (زائر)

UP 0 DOWN

ابلغ عن هذه المشاركة

07:54 صباحاً 2007/05/05

2

الأخ / خالد
مساء الخير
لماذا كل مرة يتم استهداف الويندز دون غيرة الامن المفترض بأن هذا هو الفايروس 13أو 16 الذي فقط يستهدف الويندز إلى هذه الدرجة الويندز ضعيف.
وتقبل كل تقدير وأحترام

أبو نايف ( سلطان) (زائر)

UP 0 DOWN

ابلغ عن هذه المشاركة

12:49 مساءً 2007/05/05

3

السلام عليكم
يوجد لدي حماية كاسبر , نت فيروس هل يحمي جهازي من هذي
الدوده ونظام عندي xp sp2 وكيف أعرف أنهاء بلجهاز
مع جزيل الشكر ولاحترام

أبوفهد (زائر)

UP 0 DOWN

ابلغ عن هذه المشاركة

03:27 مساءً 2007/05/05

4

يعطيك العافيه أخوي الغالي خالد
ومشكور على الشرح المفيد@

أبو سليمان (زائر)

UP 0 DOWN

ابلغ عن هذه المشاركة

12:57 صباحاً 2007/05/06