فيروسات دودة Win32/Netsky.Q@MM

إعداد:  خالد بن محمد المسيهيج

الاسم التقني: Win32/Netsky.Q
تاريخ الاكتشاف:  22مارس 2004
مستوى الضرر: متوسط بالنسبة للمستخدم العادي أو منشآت الأعمال
مدى الانتشار: متوسط
أسماء مستعارة أخرى :Win32/Netsky-Q وWORM_NETSKY.P وI-Worm.Netsky.q
عملها وطريقة انتشارها :
دودة Win32/Netsky.Q@MM: هي عبارة عن دودة فيروسية تحمل بعض خصائص أسلافها وتعتمد بانتشارها على إرسال نفسها عبر البريد الإلكتروني وما أن تحل في جهاز الضحية حتى تقوم بإنشاء عدد من الملفات في مجلد ويندوز، من أهمها ملف مزيف يوهمك بأنه  fvprotect.exe أحد أهم ملفات مكافح الفيروسات الشهير Norton Antivirus AV  وتقوم كذلك بإضافة بعض السطور لملف الريجستري على أنها هو، كما أنها تنتشر أيضاً عبر برامج مشاركة الملفات في الإنترنت المسماة Peer-to-Peer والتي يختصر لها اصطلاحاً بـ (P2P) مثل الكازا والحمار إضافة إلى برامج المحادثة التي تدعم تبادل الملفات مثل برنامج المحادثة الشهير ICQ وIRC ، والرسالة المفخخة تحمل ملفاً مرفقاً يتراوح حجمه ما بين   4027ك.ب ، وجميع أنظمة تشغيل ويندوز معرضة للإصابة. وقد أشار موقع McAfee المتخصص في مكافحة الفيروسات أن هناك فترة زمنية تنشط بها الدودة وهي الفترة الواقعة ما بين  8و 11من إبريل 2004م حيث تقوم بمهاجمة المواقع التالية:
www.edonkey2000.com
www.kazaa.com
www.emule-project.net
www.cacks.am
www.cracks.st

ومعلوم أن هذه المواقع يرتادها الكثير من الزوار وبالتالي فإن الدودة ستصيب أجهزة جميع من يتعاملون مع ملفات هذه المواقع.
الرسائل التي ترفق بها الدودة
في الغالب الرسائل المفخخة بهذه الدودة تأتي معنونة بتسليم الرسائل وأحياناً تكتب أي أحرف بشكل عشوائي (كما يتضح من الصورة رقم 1) وبالتالي مسألة حصرها غير ممكنة، لكن يكفي أن نتنبه إلى نوعية الملفات التي تأتي بها الدودة وهي:
EML. SCR. PIF. ZIP
 تصل الرسائل على شكل تحذيرات بخصوص حساب البريد الإلكتروني أو هكذا تحاول الإيقاع بضحاياها كأن تحمل عنواناً يوهم القارئ بأن هذه الرسالة تساعد على تحقيق أقصى درجات الحماية للبريد، أو تقرير عن حسابه، أو تنبيه هام بخصوص بريدك (كما يظهر من الصورة)، ولسنا بصدد حصر جميع عناوين الرسائل نظراً لأنها قد تتغير لكن يكفينا فقط الإشارة لذلك .
الوقاية :
كما ذكرنا ونذكر دائماً بأن الوقاية أهم من العلاج، إذ إنه في بعض الأحيان نجد أن العلاج لا يجدي نفعاً، ومن أهم قواعد السلامة والوقاية التنبه لحجم الرسائل، لاحظ في الصورة (1) نجد أن المرفق يبلغ حجمه  30كيلوبايت، هذا فضلاً على أن أي ملفات قابلة للتنفيذ مثل ذات الامتداد:
Exe. bat. pif. scr وكذلك الملفات المضغوطة التي قد تتضمن ملفات قابلة للتنفيذ مثل: Zip. rar ليس من الآمن استقبالها حتى من عناوين غير معلومة، كما أن الرسائل التي تعنون باللغة الإنجليزية من أصدقاء لم يكن من المعتاد أن يرسلوا بهذه اللغة أمر يثير الشك خصوصاً إذا علمنا أنه عند إصابة جهاز تقوم الدودة بإرسال نفسها بشكل آلي ودون علم صاحبه إلى جميع العناوين المقيدة بدفتر العناوين. لذلك من الأسلم حذفها مباشرة إن لم يتوفر برنامج حماية بخادم البريد. كذلك من الموصى به تركيب أحد برامج الحماية الموثوق بها مثل AVG والذي يمكن الحصول على نسخة مجانية منه من خلال الوصلة التالية:
www.grisoft.com/us/us_dwnl7.php
العلاج:
إذا أحسست بأنك قد استقبلت رسالة تثير الشك فيمكن الاستعانة بإحدى الأدوات المتخصصة إن لم يستطع برنامج الحماية المثبت على جهازك اكتشافها وهذا نادراً إذا كانت هناك متابعة مستمرة للتحديثات الخاصة بالبرنامج، ومن أكثر الأدوات شمولية تلك التي أنشأتها شركة avast! والتي تقوم بتحديثها بشكل مستمر حتى أصبحت علاجاً لأشهر الفيروسات الخطرة، وهذه الأداة يمكن الحصول عليها (محدثة) من خلال الوصلة التالية:
www.ma3refah.org/protection/ac
للتواصل معنا أو الاستفسار عن أي معلومات حول الفيروسات والحماية يمكن مراسلتنا على العنوان :
almusaihij@alriyadh.com.