هذه الدودة تريد فقط للشفاء

محتويات

• هذه الدودة فقط تريد الشفاء
• التهديد الأعلى W32 / Nachi.B-worm
• أعلى 10 فيروسات البريد الإلكتروني
• أعلى 5 نقاط الضعف
• نصيحة الأمان
• تحديثات أمان Windows
• جارجون باستر
• الأمن ووتش قصة الأعلاف

هذه الدودة فقط تريد الشفاء

لقد شهدنا لأول مرة انفجار MyDoom.A ، وهجوم رفض الخدمة اللاحق الذي أدى إلى خروج موقع Santa Cruz Operation (sco.com) على الإنترنت لمدة أسبوعين. ثم جاء MyDoom.B ، الذي أضاف Microsoft.com كهدف لهجوم DoS. في حين أن MyDoom.A انطلق مع الانتقام ، MyDoom.B ، مثل فيلم "B" ، كان طائش. وفقًا لـ Mark Sunner CTO في MessageLabs ، كان لدى MyDoom.B أخطاء في التعليمة البرمجية التي تسببت في نجاحها في هجوم SCO 70٪ من الوقت ، و 0٪ عند مهاجمة Microsoft. وقال أيضًا أن هناك "فرصة أكبر لقراءة MyDoom.B ، بدلاً من التقاطها."

في الأسبوع الماضي ، رأينا انفجارًا للفيروسات التي تركب على ذيول المعطف في الاستيلاء الناجح على MyDoom.A على مئات الآلاف من الأجهزة. أول من ضرب المشهد كان Doomjuice.A (وتسمى أيضًا MyDoom.C). Doomjuice.A ، لم يكن فيروسًا آخر للبريد الإلكتروني ، لكنه استفاد من الباب الخلفي الذي فتحته MyDoom.A على الأجهزة المصابة. سيقوم Doomjuice بالتنزيل على جهاز مصاب MyDoom ، ومثل MyDoom.B ، قم بتثبيت ومحاولة تنفيذ هجوم DoS على Microsoft.com. وفقًا لما ذكرته شركة Microsoft ، لم يكن الهجوم يؤثر سلبًا عليهم في التاسع والعاشر ، على الرغم من أن NetCraft سجلت أن موقع Microsoft كان يتعذر الوصول إليه في مرحلة ما.

يعتقد خبراء مكافحة الفيروسات أن Doomjuice كان من عمل مؤلف (مؤلفي) MyDoom نفسه ، لأنه يسقط أيضًا نسخة من مصدر MyDoom الأصلي على الجهاز الضحية. وفقًا لبيان صحفي من F-secure ، قد يكون هذا وسيلة للمؤلفين لتغطية مساراتهم. كما يقوم أيضًا بإصدار ملف التعليمات البرمجية المصدر العامل لكتاب الفيروسات الآخرين لاستخدام أو تعديل. لذا ، أصبح MyDoom.A و MyDoom.B ، مثل Microsoft Windows و Office أنفسهم ، الآن بمثابة منصة لنشر الفيروسات الأخرى. خلال الأسبوع الماضي ، رأينا ظهور W32 / Doomjuice.A ، W32 / Doomjuice.B ، W32 / Vesser.worm.A ، W32 / Vesser.worm.B ، استغلال - MyDoom - متغير طروادة من Proxy-Mitglieter و W32 / Deadhat.A و W32 / Deadhat.B ، وكلها تدخل مستتر MyDoom. Vesser.worm / DeadHat.B ، استخدم أيضًا شبكة مشاركة ملفات SoulSeek P2P.

في 12 فبراير ، تم اكتشاف W32 / Nachi.B.worm. مثل سابقتها ، W32 / Nachi.A.worm (المعروف أيضًا باسم Welchia) ، تنتشر Nachi.B من خلال استغلال ثغرات RPC / DCOM و WebDAV. بينما لا يزال فيروس / فيروس متنقل ، يحاول Nachi.B إزالة MyDoom وإغلاق الثغرات الأمنية. بحلول يوم الجمعة ، 13 فبراير ، وصلت Nachi.B إلى المركز الثاني على قائمة تهديدات البائعين (Trend، McAfee). نظرًا لأنه لا يستخدم البريد الإلكتروني ، فلن يظهر على قائمة أفضل عشرة فيروسات للبريد الإلكتروني الخاصة بنا في MessageLabs. منع الإصابة بـ Nachi.B هو نفسه بالنسبة لـ Nachi.A ، قم بتطبيق كافة تصحيحات أمان Windows الحالية لإغلاق الثغرات الأمنية. اطلع على أفضل تهديد لدينا لمزيد من المعلومات.

في يوم الجمعة 13 فبراير ، رأينا آخر الحربة MyDoom ، W32 / DoomHunt.A. يستخدم هذا الفيروس MyDoom.A backdoor ، ويقوم بإيقاف العمليات وحذف مفاتيح التسجيل المرتبطة به. بخلاف Nachi.B ، الذي يعمل بهدوء في الخلفية ، ينبثق DoomHunt.A من مربع حوار يعلن "MyDoom Removal Worm (DDOS the RIAA)". يقوم بتثبيت نفسه في مجلد Windows System كـ Worm.exe واضح ، ويضيف مفتاح تسجيل بقيمة "Delete Me" = "worm.exe". الإزالة هي نفسها أي فيروس متنقل ، وإيقاف عملية worm.exe ، والمسح الضوئي باستخدام برنامج مكافحة الفيروسات ، وحذف ملف Worm.exe وأي ملفات مرتبطة به ، وإزالة مفتاح التسجيل. بالطبع ، تأكد من تحديث جهازك بأحدث تصحيحات الأمان.

على الرغم من عدم وجود طريقة لمعرفة بالضبط ، فقد تراوحت التقديرات بين 50000 و 400000 جهاز MyDoom.A المصاب بنشاط. لا يمكن لـ Doomjuice الانتشار إلا من خلال الوصول إلى الباب الخلفي لـ MyDoom ، وبالتالي فإن المستخدمين غير المصابين لم يتعرضوا للخطر ، ومع تنظيف العدوى ، سينخفض ​​مجال الأجهزة المتاحة. ومع ذلك ، فإن الخطر الوحيد هو أنه بينما كان من المقرر أن توقف MyDoom.A هجماتها على DoS في 12 فبراير ، فإن Doomjuice ليس لديها مهلة. لقد ذكرنا في الأسبوع الماضي رؤية انفجار MyDoom.A يتكشف على رسوم متحركة لـ MessageLabs Flash ، ووعدنا برؤيته ليراه الجميع. ها هو.

أعلنت شركة Microsoft عن وجود ثلاث نقاط ضعف أخرى وأصدرت تصحيحات هذا الأسبوع. اثنان من أولويات المستوى المهم ، وواحد هو المستوى الحرج. تتضمن مشكلة عدم الحصانة الأعلى مكتبة تعليمات برمجية في Windows تعتبر أساسية لتأمين تطبيقات الويب والتطبيقات المحلية. لمزيد من المعلومات حول مشكلة عدم الحصانة وتأثيراتها وما عليك القيام به ، راجع تقريرنا الخاص. تشتمل الثغرات الأخرى على خدمة Windows Internet Naming Service (WINS) ، والآخر موجود في إصدار Mac من Virtual PC. راجع قسم تحديثات أمان Windows للحصول على مزيد من المعلومات.

إذا كان يشبه البطة ، يمشي مثل البطة ، والدجالين مثل البطة ، هل هو بطة أم فيروس؟ ربما ، ربما لا ، ولكن AOL كان يحذر المستخدمين (الشكل 1) من النقر على رسالة كانت تقوم بجولات عبر برنامج المراسلة الفورية الأسبوع الماضي.

تحتوي الرسالة على رابط يقوم بتثبيت لعبة ، إما Capture Saddam أو Night Rapter ، اعتمادًا على إصدار الرسالة (الشكل 2). تضمنت اللعبة BuddyLinks ، وهو فيروس يشبه التكنولوجيا يرسل تلقائيًا نسخًا من الرسالة إلى كل شخص في قائمة الأصدقاء لديك. تقوم التقنية بالتسويق الفيروسي بحملتها للرسائل الآلية ، وترسل لك إعلانات وقد تختطف (تعيد توجيه) متصفحك. اعتبارًا من يوم الجمعة ، تم إيقاف كل من موقع اللعبة (www.wgutv.com) وموقع Buddylinks (www.buddylinks.net) ، ولم تكن شركة Buddylinks ومقرها كامبريدج تعيد المكالمات الهاتفية.

تحديث: لقد أخبرناك في الأسبوع الماضي عن موقع مزيف "لا ترسل بريدًا إلكترونيًا" ، ووعد بقطع الرسائل غير المرغوب فيها ، ولكنه كان بالفعل جامع عناوين البريد الإلكتروني لمرسلي البريد العشوائي. هذا الأسبوع ، ذكرت إحدى تقارير رويترز أن لجنة التجارة الفيدرالية الأمريكية تحذر ، "لا ينبغي للمستهلكين إرسال عناوين بريدهم الإلكتروني إلى موقع ويب يعد بتخفيض" الرسائل غير المرغوب فيها "غير المرغوب فيها لأنها احتيالية". تمضي المقالة في وصف الموقع ، وتوصي ، كما كنا ، بـ "الاحتفاظ بمعلوماتك الشخصية لنفسك - بما في ذلك عنوان بريدك الإلكتروني - إلا إذا كنت تعرف من تتعامل معه."

في يوم الخميس الموافق 12 فبراير ، اكتشفت Microsoft أن بعض التعليمات البرمجية المصدر الخاصة بها كانت متداولة على الويب. لقد تتبعوه إلى MainSoft ، الشركة التي تصنع واجهة Windows إلى Unix لمبرمجي تطبيقات Unix. قامت شركة MainSoft بترخيص شفرة مصدر نظام التشغيل Windows 2000 ، وتحديداً الجزء الذي يتعلق بواجهة برمجة التطبيقات (واجهة برنامج التطبيق) لنظام Windows. وفقًا لقصة eWeek ، الكود غير كامل أو قابل للترجمة. بينما يتم نشر واجهة برمجة تطبيقات Windows بشكل جيد ، فإن شفرة المصدر الأساسية ليست كذلك. واجهة برمجة التطبيقات (API) عبارة عن مجموعة من وظائف التعليمات البرمجية والإجراءات التي تقوم بتنفيذ مهام تشغيل Windows ، مثل وضع الأزرار على الشاشة ، أو القيام بالأمان ، أو كتابة الملفات على القرص الثابت. تنبع العديد من الثغرات الأمنية في Windows من المخازن المؤقتة والمعلمات التي لم يتم التحقق منها إلى هذه الوظائف. غالبًا ما تتضمن نقاط الضعف تمرير رسائل أو معلمات تم إعدادها خصيصًا لهذه الوظائف ، مما يتسبب في فشلها وفتح النظام للاستغلال. نظرًا لأن جزءًا كبيرًا من كود Windows 2000 مدمج أيضًا في خادم Windows XP و Windows 2003 ، فإن وجود الكود المصدري قد يسمح لكتاب الفيروسات والمستخدمين الضارين بالعثور بسهولة أكبر على الثغرات الموجودة في إجراءات محددة واستغلالها. في حين يتم تحديد الثغرات الأمنية من قِبل Microsoft أو مصادر الجهات الخارجية قبل أن تصبح عامة ، مما يتيح الوقت لإصدار تصحيحات ، فقد يؤدي ذلك إلى قلب هذا الإجراء رأسًا على عقب ، ووضع المتسللين في موضع اكتشاف الثغرات الأمنية واستغلالها قبل أن تعثر Microsoft عليها وتصحيحاتها.