السبت 30 جمادى الأولى 1428هـ - 16 يونيو 2007م - العدد 14236

أمن المعلومات

ثلاثة كائنات جديدة تؤثر على ملفات النظام وتنتقل عبر وسائط التخزين المتنقلة

---

تقرير - خالد المسيهيج:

ردود سريعة:

سعدنا بتواصلكم من خلال الموقع الإلكتروني، وأشكر الأخوة الذين تابعونا وأضافوا تعليقاتهم، وكان بودي أن أقوم بالرد والتعقيب عليها في نفس الموقع، لكن الوقت لم يسعفني ولم أتمكن من الرد هناك لانتهاء الفترة المحددة. لذلك يسعدني أن أعقب على إثنين منها بشكل سريع..

الأستاذ حسام الغامدي قد أثار نقطة مهمة وهي قصور بعض برامج الحماية المشهورة وتفوق بعض البرامج غير المعروفة، وخص بالذكر مكافي، وبرنامج مكافي في الحقيقة ليس هو الأفضل بل يحتل المرتبة السادسة بين برامج الحماية والتي يحتل المراكز الأولى فيها BitDefender و Kaspersky ثم F-Secure Anti-Virus على التوالي.. وقبل عامين لم يكن كاسبر سكاي داخلاً في هذا التقييم مع أنه قوي جداً لأنه لم يأخذ طريقه في الانتشار بعد، وهذا يمكن تطبيقه على أي برنامج جديد.

نقطة أخرى أود أن ألفت لها، وهي أن عالم الفيروسات متجدد وقد تكون هناك فيروسات معروفة للبرنامج A لا يستطيع B الكشف عنها.

صديقنا الدائم منصور الرميح أشار هو الآخر إلى تجدد المخاطر وظهور كائنات وأساليب جديدة، فأؤيده الرأي وأقول: يبقى الصراع ما بين الخير والشر إلى أن يرث الله الأرض ومن عليها، لكن على الإنسان أن يتابع ويقرأ ويتخذ التدابير الوقائية ويبتعد عن الأماكن المشبوهة وبإذن الله سيكون آمناً.

نبدأ بتقرير لهذا الأسبوع :

حصان طروادة Troj/eAgent-D :

هذا الكائن وإن قيم على أنه متوسط الخطورة، فإنه أحد أهم الوسائل لنشر الرسائل التطفلية المزعجة Spam، سريع الانتشار، يستهدف جميع أنظمة ويندوز، ويقوم بعدد من المهام الإضافية منها على سبيل المثال إرسال نفسه إلى جميع العناوين البريدية المسجلة داخل الجهاز المصاب، يقوم بإسقاط العديد من الملفات الضارة.

أما الإجراءات التي يقوم بها عند الإصابة فهي إنشاء ملفات جديدة هي rsvp322.dll وsporder.dll يزرعمها داخل مجلد النظام System الموجود داخل مجلد ويندوز. كما يقوم بإضافة السطر التالي إلى سجل النظام:

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters

دودة W32/Gimlet-A:

دودة فيروسية، عالية الخطورة، بطيئة الانتشار، تستهدف أنظمة ويندوز، وتنتقل عبر وسائط التخزين المتحركة (الفلاش)، لها العديد من المسميات التي وضعتها بعض الجهات المقدمة لحلول الحماية ومن بين هذه الأسماء Win32/VB.GYworm وWorm.Win32.VB . و Generic.dx ، وتقوم هذه الدودة بعدد من المهام الخطيرة منها إبطال عمل مضادات الفيروسات، وتقويض نظام الحماية الخاص بالنظام، وتسجيل نفسها في سجل النظام في سطور كثيرة يصعب حصرها في هذا التقرير.

وأول إجراءات تقوم بها هو نسخ نفسها إلى المحرك الرئيس الذي عليه النظام بأسماء ملفات هي : AVG 2007.exe و VG_update_2007.exe كذلك إلى مجلد ويندوز، حيث تضع نسخة داخل المسار باسم System.scr داخل المسار Resources .. والملفين Notepad.scr و Proposal.scr في المسار System .

كما تقوم بإنشاء ملف صورة اسمه W32.PIGLET II.jpg تضعه في المحرك الرئيسي ليصبح أيقونة وتضع ملف تشغيل تلقائي autorun.inf حيث بمجرد النقر على أيقونة القرص المصاب يبدأ العمل.

كائن Perfect Keylogger :

من أخطر الكائنات التي تهدد أمن وخصوصية المستخدم رواصد لوحة المفاتيح، حيث تقوم برصد أي شيء يكتب على لوحة المفاتيح ومن ثم سرقة أي بيانات ائتمان، هذا الكائن وإن كان يصنف على أنه من الكائنات غير المرغوبة PUA إلا أن عمله كعمل تلك الرواصد، يعمل مع أنظمة ويندوز، يتمثل عمله بإتاحة الوصول والتحكم بالجهاز المصاب عن بعد، يقوم بزرع عدد من الملفات داخل مسار مجلد النظام وهذه الملفات هي : inst.dat وpk.bin وscanner.exeو scannerhk.dll وscannerr.exeو scannerwb.dll .

كما يقوم بإنشاء عدد من الأسطر في سجل النظام لضمان نشاطها.

وسائل حماية مقترحة:

تركيب أي برنامج جيد مضاد للفيروسات مع العمل على تحديثه، ونقترح برنامج AVG Free AVG والذي يمكن الحصول على نسخة منه دون مقابل من موقعه على الإنترنت: www.grisoft.com أو برنامج Kaspersky ، ويمكن الحصول على نسخة تجريبية منه من موقعه على الإنترنت Kaspersky.com

almusaihij@alriyadh.com