عاشق الكويت
18 - 07 - 2004, 12:21
فيـــــــروس جــــــاوبــت عـــــدو الشبكـــــات!!!
اسم الفيروس: W32/Gaobot.worm W32/Agobot-XX WORM_AGOBOT
نوع الفيروس: دودة من نوع worm
درجة الخطورة: متوسط
درجة الانتشار: متوسط
:تاريخ اكتشاف الفيروس 7/6/2004
الاثر التدميرى: يقوم بإيقاف عمل برامج مقاومة الفيروسات وبرامج التأمين الأخري, كما يقوم بمهاجمة الحاسبات الخادمة.
طريقة الانتشار: عن طريق شبكات الحاسبات المحلية LAN وبعض الثغرات الأمنية في نظم النوافذ
كيفية نشاط الفيروس: ينشط الفيروس فور دخوله علي الحاسب أثناء الاتصال بالإنترنت.
نظم التشغيل: Windows 2000, Windows NT, Windows XP
مصدر الفيروس: غير معروف
الفيروس مشفر: لا
نوع من الفيروسات يستغل بعض الثغرات الأمنية التي توجد في نظم النوافذ الحديثة وخاصة نوافذ XP لكي ينفذ منها إلي الحاسبات التي يستهدفها.
طريقة الانتشار :
ينتشر الفيروس عبر خطوط شبكات الحاسبات المحلية LAN أو الشبكات اللاسلكية الأخري عن طريق المجلدات التي لها خاصية المشاركة Share بين أكثر من مستخدم, المجلدات التي لها خاصية المشاركة وغير محمية باسم للمستخدم وكلمة سر, تصبح هدفا سهلا لهذا الفيروس, أما المجلدات التي تتم حمايتها بكلمة سر ضعيفة أو منتشرة مثل Admin أو Guest أو User1 فسوف يتم اختراقها أيضا.
الآثار التدميرية للفيروس :
*يقوم الفيروس فور وصوله إلي الحاسب بإيقاف عمل برامج مقاومة الفيروسات, كما يقوم بإيقاف بعض برامج التأمين الأخري مثل برامج حائط النار Firewall ومنها برنامج Zone Alarm الشهير الذي يستعمله عدد كبير من مستخدمي الحاسبات الشخصية, بذلك يعرض الفيروس هذه الحاسبات لمخاطر الإصابة بالفيروسات الأخري نظرا لتوقف برامج الحماية عن العمل في الوقت الذي يظن فيه المستخدم أن برامج التأمين ومقاومة الفيروسات المثبتة علي حاسبه تعمل بشكل طبيعي.
* فور وصول الفيروس للحاسب يقوم بوضع ملف باسم Wuamgrd16.exe في مجلد نظام النوافذ C:/Windows/System32 كما يقوم أيضا بإحداث بعض التغيرات في ملفات نظام التشغيل Registry Files لكي ينشط الفيروس فور تشغيل الحاسب.
* بعد إصابة الفيروس للحاسب يقوم بالبحث عن ملفات بعض الألعاب الإلكترونية مثل :
* Battlefield
* Command and Conquer
* FIFA 2003
** Nascar Racing
لكي يقوم بسرقة أرقام تشغيل هذه الألعاب من علي الحاسب ثم يرسلها لمطور هذا الفيروس عن طريق شبكة الإنترنت.
* يمنع الفيروس مستخدم الحاسب من التعامل مع بعض برامج نظام التشغيل مثل msconfig و Regedit و Sysinfo وكلها برامج مهمة لا نستطيع الاستغناء عنها.
* من الأشياء الغريبة التي يقوم بها فيروس Gaobot أنه يوقف عمل بعض الفيروسات الأخري الخطيرة علي الحاسب مثل فيروس بلاستر علي سبيل المثال, قد يكون ذلك نوعا من التنافس بين الفيروسات للحصول علي السيطرة الكاملة علي الحاسبات التي تصيبها.
*يقوم الفيروس بالاتصال بالشخص الذي قام بتطويره, ويتيح له أن يستخدم أمرRun الذي يوجد في قائمة البداية لكي ينفذ من خلاله البرامج التي يريد تشغيلها علي الحاسبات المصابة, كما يتيح أيضا لمطور الفيروس أن يستخدم وظيفة تبادل الملفات FTP لكي يرسل ملفات من علي الحاسب المصاب أو يستقبل ملفات يقوم مصمم الفيروس بإرسالها, يمكن أيضا لمطور الفيروس أن يعيد تشغيل الحاسب أو أن يوقف بعض البرامج أو يقوم بإجراء تعديلات في ملفات نظام التشغيل Registry files.
*يسرق الفيروس عناوين البريد الإلكتروني التي تجد علي الحاسب ويرسلها إلي مطور الفيروس عن طريق بروتوكول الإنترنت HTTP
إرشادات للوقاية من هذه النوعية من الفيروسات :
*قم بإلغاء الخدمات Services التي لا تحتاجها من نظام التشغيل وخاصة تلك التي تستخدم في التعامل مع شبكة الإنترنت, عادة ما توجد بعض الخدمات مثل FTP Server و Web Server علي نظم النوافذ وهي خدمات لا يحتاجها المستخدم العادي, ويمكن أن تصبح ثغرة أمنية تنفذ منها الفيروسات وقراصنة الإنترنت.
* يجب أن نبذل أقصي مجهود في استخدام كلمات سر جيدة التصميم حتي نجعل مهمة اختراق المجلدات التي توجد علي الحاسبات المشتركة في شبكة عملية صعبة, يجب ألا تقل كلمة السر عن ثمانية حروف وأرقام وعلامات خاصة.
* قم بتحديث نظام النوافذ باستمرار وذلك لكي تقوم بتثبيت البرامج Patches التي تقوم بسد الثغرات الأمنية التي تكتشف في نظم التشغيل.
منقوووول
اسم الفيروس: W32/Gaobot.worm W32/Agobot-XX WORM_AGOBOT
نوع الفيروس: دودة من نوع worm
درجة الخطورة: متوسط
درجة الانتشار: متوسط
:تاريخ اكتشاف الفيروس 7/6/2004
الاثر التدميرى: يقوم بإيقاف عمل برامج مقاومة الفيروسات وبرامج التأمين الأخري, كما يقوم بمهاجمة الحاسبات الخادمة.
طريقة الانتشار: عن طريق شبكات الحاسبات المحلية LAN وبعض الثغرات الأمنية في نظم النوافذ
كيفية نشاط الفيروس: ينشط الفيروس فور دخوله علي الحاسب أثناء الاتصال بالإنترنت.
نظم التشغيل: Windows 2000, Windows NT, Windows XP
مصدر الفيروس: غير معروف
الفيروس مشفر: لا
نوع من الفيروسات يستغل بعض الثغرات الأمنية التي توجد في نظم النوافذ الحديثة وخاصة نوافذ XP لكي ينفذ منها إلي الحاسبات التي يستهدفها.
طريقة الانتشار :
ينتشر الفيروس عبر خطوط شبكات الحاسبات المحلية LAN أو الشبكات اللاسلكية الأخري عن طريق المجلدات التي لها خاصية المشاركة Share بين أكثر من مستخدم, المجلدات التي لها خاصية المشاركة وغير محمية باسم للمستخدم وكلمة سر, تصبح هدفا سهلا لهذا الفيروس, أما المجلدات التي تتم حمايتها بكلمة سر ضعيفة أو منتشرة مثل Admin أو Guest أو User1 فسوف يتم اختراقها أيضا.
الآثار التدميرية للفيروس :
*يقوم الفيروس فور وصوله إلي الحاسب بإيقاف عمل برامج مقاومة الفيروسات, كما يقوم بإيقاف بعض برامج التأمين الأخري مثل برامج حائط النار Firewall ومنها برنامج Zone Alarm الشهير الذي يستعمله عدد كبير من مستخدمي الحاسبات الشخصية, بذلك يعرض الفيروس هذه الحاسبات لمخاطر الإصابة بالفيروسات الأخري نظرا لتوقف برامج الحماية عن العمل في الوقت الذي يظن فيه المستخدم أن برامج التأمين ومقاومة الفيروسات المثبتة علي حاسبه تعمل بشكل طبيعي.
* فور وصول الفيروس للحاسب يقوم بوضع ملف باسم Wuamgrd16.exe في مجلد نظام النوافذ C:/Windows/System32 كما يقوم أيضا بإحداث بعض التغيرات في ملفات نظام التشغيل Registry Files لكي ينشط الفيروس فور تشغيل الحاسب.
* بعد إصابة الفيروس للحاسب يقوم بالبحث عن ملفات بعض الألعاب الإلكترونية مثل :
* Battlefield
* Command and Conquer
* FIFA 2003
** Nascar Racing
لكي يقوم بسرقة أرقام تشغيل هذه الألعاب من علي الحاسب ثم يرسلها لمطور هذا الفيروس عن طريق شبكة الإنترنت.
* يمنع الفيروس مستخدم الحاسب من التعامل مع بعض برامج نظام التشغيل مثل msconfig و Regedit و Sysinfo وكلها برامج مهمة لا نستطيع الاستغناء عنها.
* من الأشياء الغريبة التي يقوم بها فيروس Gaobot أنه يوقف عمل بعض الفيروسات الأخري الخطيرة علي الحاسب مثل فيروس بلاستر علي سبيل المثال, قد يكون ذلك نوعا من التنافس بين الفيروسات للحصول علي السيطرة الكاملة علي الحاسبات التي تصيبها.
*يقوم الفيروس بالاتصال بالشخص الذي قام بتطويره, ويتيح له أن يستخدم أمرRun الذي يوجد في قائمة البداية لكي ينفذ من خلاله البرامج التي يريد تشغيلها علي الحاسبات المصابة, كما يتيح أيضا لمطور الفيروس أن يستخدم وظيفة تبادل الملفات FTP لكي يرسل ملفات من علي الحاسب المصاب أو يستقبل ملفات يقوم مصمم الفيروس بإرسالها, يمكن أيضا لمطور الفيروس أن يعيد تشغيل الحاسب أو أن يوقف بعض البرامج أو يقوم بإجراء تعديلات في ملفات نظام التشغيل Registry files.
*يسرق الفيروس عناوين البريد الإلكتروني التي تجد علي الحاسب ويرسلها إلي مطور الفيروس عن طريق بروتوكول الإنترنت HTTP
إرشادات للوقاية من هذه النوعية من الفيروسات :
*قم بإلغاء الخدمات Services التي لا تحتاجها من نظام التشغيل وخاصة تلك التي تستخدم في التعامل مع شبكة الإنترنت, عادة ما توجد بعض الخدمات مثل FTP Server و Web Server علي نظم النوافذ وهي خدمات لا يحتاجها المستخدم العادي, ويمكن أن تصبح ثغرة أمنية تنفذ منها الفيروسات وقراصنة الإنترنت.
* يجب أن نبذل أقصي مجهود في استخدام كلمات سر جيدة التصميم حتي نجعل مهمة اختراق المجلدات التي توجد علي الحاسبات المشتركة في شبكة عملية صعبة, يجب ألا تقل كلمة السر عن ثمانية حروف وأرقام وعلامات خاصة.
* قم بتحديث نظام النوافذ باستمرار وذلك لكي تقوم بتثبيت البرامج Patches التي تقوم بسد الثغرات الأمنية التي تكتشف في نظم التشغيل.
منقوووول