ابوفهد
29-09-2002, 02:07 PM
فيروس Nimda بأنواعه العديدةيعاود نشاطه
http://www.al-jazirah.com.sa/evillage/29092002/ev.jpg
يوم الثلاثاء الماضي كانت الذكرى الأولى لفيروس نيمدا Nimda أخطر فيروسات الكمبيوتر وأكثرهم انتشارا حتى الآن وسط تحذيرات شركات البرمجيات ومكافحة الفيروسات من معاودة الفيروس لهجماته مرة أخرى كما جرت العادة بين الفيروسات في المناسبات المختلفة.
وتشير الإحصاءات أن فيروس Nimda بأنواعه العديدة قد تصدر قائمة أخطر عشرة فيروسات وأكثرها إصابة لأجهزة الكمبيوتر على المستوى الدولي.
وسجلت شركتا نورتن وتريند مايكرو خلال يوم واحد فقط اكثر من 120 الف اصابة ليرتفع عدد الاصابات في الاجهزة من خلال شركة تريند مايكرو فقط الى اكثرمن 3 ،1 ملايين اصابة منذ اكتشاف الفيروس.
الا ان الرقم الحقيقي اكبر من ذلك بكثير لان الكثير من المستخدمين لم يقوموا بعد بترقية برامج مكافحة الفيروسات لديهم كما ان الكثيرين لايفضلون اجراء مسح الاجهزة على الانترنت وانما يقومون بتحديث برامجهم تلقائيا او تنزيل قواعد البيانات والرقع البرمجية الخاصة بالقضاء على الدودة البريدية اضافة الى عدم متابعة بعض مديري الشبكات محليا للرقع البرمجية الجديدة التي تساهم في القضاء على الدودة الخطيرة.
وقالت متحدثة باسم الشركة في تعليق لها على الانتشار الهائل لهذا الفيروس الذي تسبب في خسائر قدرت بنحو 300 مليون دولار في اسبوع واحد انها لم تشهد دافعا من قبل مستخدمي الانترنت في العالم كما حصل عند الكشف عن الفيروس الجديد مما سبب ضغطا كبيرا على خدمة الفحص المجاني من الشركة عبر موقعها على الانترنت.
خطورة الفيروس
تسبب نيمدا وفيروس آخر يدعى «ريد كود» لوحدهما في اغلاق أكثر من 150 ألف موقع على الانترنت تعمل على مايكروسوفت IIS «الخادم الشبكي» والسبب كما يقول الخبراء في ذلك هو إصابة حوالي 80 ألف جهاز حاسب آلي تعمل على أنظمة تشغيل ويندوز 2000 و NT وترتبط بالإنترنت بالفيروسين وهذه الأجهزة هي التي كانت تستضيف ال 150 ألف موقع المفقودة.وفي الأراضي المحتلة، تعرضت الشبكة الداخلية وأجهزة السيرفرات الخاصة بمواقع الهيئة العامة للاستعلامات والمركز الوطني للمعلومات والمركز الصحافي الدولي في غزة إلى هجوم شديد من قبل الفيروس الذي قام بتدمير البرامج والملفات الموجودة بالأجهزة وعطل الشبكة بشكل كامل.وقد تمت محاصرة الفيروس والقضاء عليه خلال يومين من العمل والحيلولة دون فقدان أي ملفات أو معلومات عن الشبكة الداخلية.
طريقة عمل نيمدا
يقوم فيروس النيمدا بتوسيع الثغرات في الأجهزة المصابة به وتسهيل تسلل الهاكرز إليها. وخاصة عندما يتعلق الأمر بالأنظمة الخادمة والتي كانت أكثرها تضررا أنظمة مايكروسوفت الخادمة ويشبه الفيروس فيروسي «ميليسا» و«الحب».
إلا أنه يتفوق عليهما لقدرته في تغيير اسم الرسالة وحتى الملف الملحق بها. ويستفيد هذا الفيروس من الدودة الحمراء «ريد كود وورم» وتغيراتها فهو ينتشر في شبكة البريد الالكتروني ومن خلال زيارة المواقع المصابة به سواء داخلية أو خارجية ويأخذ الصورة eml.Nimda/W32 أوNimda@MM/W32 كما يتضمن Nimda ملفا عميلا Clint يمكن المتصلين بالانترنت من تخريب بعض مكونات الاجهزة الداخلية في أي شبكة محلية مصابة بالدودة الفيروسية وتصفح معلوماتها والاتصال بها بطريقة غير مشروعة وهو ماجعل الكثير من الخبراء يطلقون عليها لقب الدودة التجسسية لقدرتها على الاستفادة من بروتوكول الخادم والعميل في الشبكات المحلية Server /Clintويمكن لبعض المخربين الاستفادة من ذلك عن طريق التقاط رقم IP للشبكة المحلية ومن ثم القيام بتصفح الاجهزة الداخلية في تلك الشبكات من غير قدرته على تنفيذ مهام معينة مثل تشغيل البرامج وانما يكون بمقدوره تصفح الاقراص الصلبة في الشبكة وقراءة ما فيها من معلومات.ويتم ذلك عن طريق قيام الدودة التجسسية بوضع صفة المشاركة Sharing في كل الاجهزة التي تصيبها كما تمكن العابث الخارجي في بعض الاحيان من السيطرة على الشبكة عن طريق منحه صفة مدير الشبكة Administrator.
وتستخدم دودة «نيمدا» عددا من الوسائل للتكاثر، وإصابة أنظمة الكمبيوتر، بما في ذلك الاستفادة من نقطة الضعف الموجودة في برنامج مزود شبكة ويب IIS (Internet Information Server) ، من إنتاج مايكروسوفت، بواسطة البريد الإلكتروني، ومن خلال الاتصالات الشبكية المفتوحة، وتستطيع الدودة أن تجعل نظام الكمبيوتر المصاب بها مفتوحا، بحيث يمكن الوصول إليه عن بعد، والكتابة فوق عدد من ملفات الكمبيوتر الموجودة فيه، وتتوالد دودة «نيمدا» بواسطة البحث عن عناوين البريد الإلكتروني في برنامجي«أوت لوك» من مايكروسوفت، ورسائل «أوت لوك إكسبرس»، الموجودين على كمبيوتر مصاب بالفيروس، وبعد ذلك، ترسل دودة «نيمدا» نفسها كمرفق، باستخدام محرك بريد إلكتروني مضمن، وتحت أسماء موضوعات عشوائية، وبدون نص رسالة بريد إلكتروني، ويتخفى المرفق، الذي يحمل اسم README.EXE بهيئة ملف صوتي غير مضر، وتبحث دودة «نيمدا»، أيضا ، عن المزود IIS لشبكة ويب، والمعرض للاستغلال بواسطة Unicode Web Traversal، وبمجرد اكتشافها لذلك المزود، تقوم بتركيب نفسها، وإطلاق نسخة منها، كما تبدأ في تعديل محتويات ملفات شبكة ويب، التي تتضمن اللاحقات .HTM، و .HTML، و .ASP. وتتمكن صفحات ويب التي تم تغييرها من توصيل نسخة من الدودة، لزائري مزود IIS المصاب بها.
ومن أكثر طرق الانتشار الملحوظة للفيروس هي أن رسائل البريد الإلكتروني التي تشتمل على الفيروس تحدد نوع مضمون audio/xwav وتحتوي على نوع من الملحقات القابلة للتشغيل، ولهذا عندما تفتح الرسالة يمكن تشغيل الملحق بدون معرفة المستخدم، وببساطة فإن مشاهدة الصفحة في «مايكروسوفت آوتلوك» أو «مايكروسوفت آوتلوك إكسبرس» باستخدام خيار المشاهدة المسبقة، يمكن أن يؤثر على جهازك، وما زال من الممكن لعملاء آخرين استلام رسائل البريد الإلكتروني، وعند النقر المزدوج على الملحق يتم إطلاق الفيروس .
رسائل مزورة
وبلغ ذكاء الفيروس أنه بعد عدة ايام من انتشاره وسط فزع بين أوساط مستخدمي الحاسب الآلي قام بارسال رسالة إلكترونية بمرفق تزعم بأنها إصلاح للفيروس من شركة Security Focus لأمن الكمبيوتر بالولايات المتحدة، ونفت الشركة أية علاقة لها بالرسالة المزعومة وقالت انها تعتقد أن المرفق قد يكون برنامجا فيروسيا اسمه حصان طروادة الذي قد يدمر نظام المستخدم في حالة فتحه وتأتي الرسالة مع مرفق بعنوان fix_NIMDA.exe وحذرت الشركة من هذه الرسالة التي تقول ان عملية فحص سريعة لعنوان الرسالة تظهـر انها دخيلة.
اجراءات وقائية
يمكنك ببعض الاجراءات
البسيطة تجنب الاصابة بهذا الفيروس الخطير منها:
1 تحديث برنامج مكافحة الفيروسات لديك.
2 نحديث برنامج انترنت اكسبلولر بشكل مستمر لحمايتك من المواقع التي قد تحوي هذه الدودة.
3 على المستخدمين في الشبكات التأكد من محتويات المجلدات التي يستخدمها اكثر من شخص sharing .. ابحث في داخل القرص الصلب « C» عن ملف اسمه Admin.dll تم اجراء تعديل عليه خلال 24 ساعة الماضية،
وملفات قد تحمل نفس الاسم موجودة داخل الملفات ولكن الملف الذي تم التعديل عليه خلال 24 ساعة هو المشتبه فيه.
4 عدم فتح رسالة مشتبه فيها كأن يكون عنوانها غريب، اوتحميل اي ملحق قبل فحصه (Attachment(C
5 أخيرا كن حذرا جدا عندما تتصفح بريدك الالكتروني من هوت ميل وياهو.........
http://www.al-jazirah.com.sa/evillage/29092002/ev.jpg
يوم الثلاثاء الماضي كانت الذكرى الأولى لفيروس نيمدا Nimda أخطر فيروسات الكمبيوتر وأكثرهم انتشارا حتى الآن وسط تحذيرات شركات البرمجيات ومكافحة الفيروسات من معاودة الفيروس لهجماته مرة أخرى كما جرت العادة بين الفيروسات في المناسبات المختلفة.
وتشير الإحصاءات أن فيروس Nimda بأنواعه العديدة قد تصدر قائمة أخطر عشرة فيروسات وأكثرها إصابة لأجهزة الكمبيوتر على المستوى الدولي.
وسجلت شركتا نورتن وتريند مايكرو خلال يوم واحد فقط اكثر من 120 الف اصابة ليرتفع عدد الاصابات في الاجهزة من خلال شركة تريند مايكرو فقط الى اكثرمن 3 ،1 ملايين اصابة منذ اكتشاف الفيروس.
الا ان الرقم الحقيقي اكبر من ذلك بكثير لان الكثير من المستخدمين لم يقوموا بعد بترقية برامج مكافحة الفيروسات لديهم كما ان الكثيرين لايفضلون اجراء مسح الاجهزة على الانترنت وانما يقومون بتحديث برامجهم تلقائيا او تنزيل قواعد البيانات والرقع البرمجية الخاصة بالقضاء على الدودة البريدية اضافة الى عدم متابعة بعض مديري الشبكات محليا للرقع البرمجية الجديدة التي تساهم في القضاء على الدودة الخطيرة.
وقالت متحدثة باسم الشركة في تعليق لها على الانتشار الهائل لهذا الفيروس الذي تسبب في خسائر قدرت بنحو 300 مليون دولار في اسبوع واحد انها لم تشهد دافعا من قبل مستخدمي الانترنت في العالم كما حصل عند الكشف عن الفيروس الجديد مما سبب ضغطا كبيرا على خدمة الفحص المجاني من الشركة عبر موقعها على الانترنت.
خطورة الفيروس
تسبب نيمدا وفيروس آخر يدعى «ريد كود» لوحدهما في اغلاق أكثر من 150 ألف موقع على الانترنت تعمل على مايكروسوفت IIS «الخادم الشبكي» والسبب كما يقول الخبراء في ذلك هو إصابة حوالي 80 ألف جهاز حاسب آلي تعمل على أنظمة تشغيل ويندوز 2000 و NT وترتبط بالإنترنت بالفيروسين وهذه الأجهزة هي التي كانت تستضيف ال 150 ألف موقع المفقودة.وفي الأراضي المحتلة، تعرضت الشبكة الداخلية وأجهزة السيرفرات الخاصة بمواقع الهيئة العامة للاستعلامات والمركز الوطني للمعلومات والمركز الصحافي الدولي في غزة إلى هجوم شديد من قبل الفيروس الذي قام بتدمير البرامج والملفات الموجودة بالأجهزة وعطل الشبكة بشكل كامل.وقد تمت محاصرة الفيروس والقضاء عليه خلال يومين من العمل والحيلولة دون فقدان أي ملفات أو معلومات عن الشبكة الداخلية.
طريقة عمل نيمدا
يقوم فيروس النيمدا بتوسيع الثغرات في الأجهزة المصابة به وتسهيل تسلل الهاكرز إليها. وخاصة عندما يتعلق الأمر بالأنظمة الخادمة والتي كانت أكثرها تضررا أنظمة مايكروسوفت الخادمة ويشبه الفيروس فيروسي «ميليسا» و«الحب».
إلا أنه يتفوق عليهما لقدرته في تغيير اسم الرسالة وحتى الملف الملحق بها. ويستفيد هذا الفيروس من الدودة الحمراء «ريد كود وورم» وتغيراتها فهو ينتشر في شبكة البريد الالكتروني ومن خلال زيارة المواقع المصابة به سواء داخلية أو خارجية ويأخذ الصورة eml.Nimda/W32 أوNimda@MM/W32 كما يتضمن Nimda ملفا عميلا Clint يمكن المتصلين بالانترنت من تخريب بعض مكونات الاجهزة الداخلية في أي شبكة محلية مصابة بالدودة الفيروسية وتصفح معلوماتها والاتصال بها بطريقة غير مشروعة وهو ماجعل الكثير من الخبراء يطلقون عليها لقب الدودة التجسسية لقدرتها على الاستفادة من بروتوكول الخادم والعميل في الشبكات المحلية Server /Clintويمكن لبعض المخربين الاستفادة من ذلك عن طريق التقاط رقم IP للشبكة المحلية ومن ثم القيام بتصفح الاجهزة الداخلية في تلك الشبكات من غير قدرته على تنفيذ مهام معينة مثل تشغيل البرامج وانما يكون بمقدوره تصفح الاقراص الصلبة في الشبكة وقراءة ما فيها من معلومات.ويتم ذلك عن طريق قيام الدودة التجسسية بوضع صفة المشاركة Sharing في كل الاجهزة التي تصيبها كما تمكن العابث الخارجي في بعض الاحيان من السيطرة على الشبكة عن طريق منحه صفة مدير الشبكة Administrator.
وتستخدم دودة «نيمدا» عددا من الوسائل للتكاثر، وإصابة أنظمة الكمبيوتر، بما في ذلك الاستفادة من نقطة الضعف الموجودة في برنامج مزود شبكة ويب IIS (Internet Information Server) ، من إنتاج مايكروسوفت، بواسطة البريد الإلكتروني، ومن خلال الاتصالات الشبكية المفتوحة، وتستطيع الدودة أن تجعل نظام الكمبيوتر المصاب بها مفتوحا، بحيث يمكن الوصول إليه عن بعد، والكتابة فوق عدد من ملفات الكمبيوتر الموجودة فيه، وتتوالد دودة «نيمدا» بواسطة البحث عن عناوين البريد الإلكتروني في برنامجي«أوت لوك» من مايكروسوفت، ورسائل «أوت لوك إكسبرس»، الموجودين على كمبيوتر مصاب بالفيروس، وبعد ذلك، ترسل دودة «نيمدا» نفسها كمرفق، باستخدام محرك بريد إلكتروني مضمن، وتحت أسماء موضوعات عشوائية، وبدون نص رسالة بريد إلكتروني، ويتخفى المرفق، الذي يحمل اسم README.EXE بهيئة ملف صوتي غير مضر، وتبحث دودة «نيمدا»، أيضا ، عن المزود IIS لشبكة ويب، والمعرض للاستغلال بواسطة Unicode Web Traversal، وبمجرد اكتشافها لذلك المزود، تقوم بتركيب نفسها، وإطلاق نسخة منها، كما تبدأ في تعديل محتويات ملفات شبكة ويب، التي تتضمن اللاحقات .HTM، و .HTML، و .ASP. وتتمكن صفحات ويب التي تم تغييرها من توصيل نسخة من الدودة، لزائري مزود IIS المصاب بها.
ومن أكثر طرق الانتشار الملحوظة للفيروس هي أن رسائل البريد الإلكتروني التي تشتمل على الفيروس تحدد نوع مضمون audio/xwav وتحتوي على نوع من الملحقات القابلة للتشغيل، ولهذا عندما تفتح الرسالة يمكن تشغيل الملحق بدون معرفة المستخدم، وببساطة فإن مشاهدة الصفحة في «مايكروسوفت آوتلوك» أو «مايكروسوفت آوتلوك إكسبرس» باستخدام خيار المشاهدة المسبقة، يمكن أن يؤثر على جهازك، وما زال من الممكن لعملاء آخرين استلام رسائل البريد الإلكتروني، وعند النقر المزدوج على الملحق يتم إطلاق الفيروس .
رسائل مزورة
وبلغ ذكاء الفيروس أنه بعد عدة ايام من انتشاره وسط فزع بين أوساط مستخدمي الحاسب الآلي قام بارسال رسالة إلكترونية بمرفق تزعم بأنها إصلاح للفيروس من شركة Security Focus لأمن الكمبيوتر بالولايات المتحدة، ونفت الشركة أية علاقة لها بالرسالة المزعومة وقالت انها تعتقد أن المرفق قد يكون برنامجا فيروسيا اسمه حصان طروادة الذي قد يدمر نظام المستخدم في حالة فتحه وتأتي الرسالة مع مرفق بعنوان fix_NIMDA.exe وحذرت الشركة من هذه الرسالة التي تقول ان عملية فحص سريعة لعنوان الرسالة تظهـر انها دخيلة.
اجراءات وقائية
يمكنك ببعض الاجراءات
البسيطة تجنب الاصابة بهذا الفيروس الخطير منها:
1 تحديث برنامج مكافحة الفيروسات لديك.
2 نحديث برنامج انترنت اكسبلولر بشكل مستمر لحمايتك من المواقع التي قد تحوي هذه الدودة.
3 على المستخدمين في الشبكات التأكد من محتويات المجلدات التي يستخدمها اكثر من شخص sharing .. ابحث في داخل القرص الصلب « C» عن ملف اسمه Admin.dll تم اجراء تعديل عليه خلال 24 ساعة الماضية،
وملفات قد تحمل نفس الاسم موجودة داخل الملفات ولكن الملف الذي تم التعديل عليه خلال 24 ساعة هو المشتبه فيه.
4 عدم فتح رسالة مشتبه فيها كأن يكون عنوانها غريب، اوتحميل اي ملحق قبل فحصه (Attachment(C
5 أخيرا كن حذرا جدا عندما تتصفح بريدك الالكتروني من هوت ميل وياهو.........