«
»

دودة في شبكة الانترنت السورية لاتجد رادعاً

إن كنت من مستخدمي مضاد فيروسات أو برنامج Internet security فعال ومحدث وتتصل بشبكة الانترنت لابد إذا أنك واجهت محاولة اختراق لحاسبك من قبل دودة spphire أو slammer أو كما يسميها مضاد فيروسات Kaspersky worm.MSSQL.helkern

worm

ماهي؟

عبارة عن هجوم BOT* يقال أن مصدره الصين ويمرر بالدرجة الاولى عبر سيرفرات الويب العمومية التي تحمل Microsoft SQL SERVER 2000.

بشكل أوضح هناك مجموعة من الأشخاص يقومون بنشر هذه البرمجية لاصطياد الحواسب مثل حاسبك ويتحكمون به عن بعد لأغراض خاصة بهم كالتي ذكرتها.

الحماية

مسؤولية إيقاف هذه الدودة تقع على مزود الخدمة والذي هو في حالتي الجمعية المعلوماتية السورية وسيريتل لأنها المسؤولة في الدرجة الأولى عن تأمين سيرفراتها ضد هجوم مماثل.

ماذا لو أن المتصل بالانترنت لايملك مضاد فيروسات بجدار ناري يوقف مثل هذا الهجوم؟ وجود حواسبنا وراء ملقمات يلقي بالمسؤولية على هذه الأخيرة في رد هكذا هجوم، حال حواسبنا لا تشابه حال حواسب متصلة بالانترنت في دول العالم الاخرى فحواسبنا ليست بمواجهة مباشرة مع الشبكة العالمية.

الحل

استخدام مضاد فيروسات والتأكد من وجود جدار ناري فعال يوقف مثل هذا الهجوم، ما أعرفه أنه أثناء استخدامي أن Kaspersky و Norton و Bitdefender توقف مثل هذا الهجوم.

هو تساؤل ومحاولة تفسير تنتظر تبرير مزودي الخدمة في سوريا

 

——————–

BOT هو برمجية تقوم باستغلال حاسبك بحيث تتحكم به عن بعد وتستخدمه لإرسال عدد كبير من الرسائل أو القيام بهجوم Denial of service على مواقع معينة

الأوسمة: , , , , , , , , , , , ,

This entry was posted on نوفمبر 5, 2009 at 3:13 ص and is filed under كومبيوتر, أمن معلومات, انترنت. يمكنك متابعة الردود على هذه التدوينة من خلال الخلاصات 2.0 You can leave a response, or trackback from your own site.

10 تعليقات إلى “دودة في شبكة الانترنت السورية لاتجد رادعاً”

  1. علوش يقول:
    نوفمبر 5, 2009 عند 8:01 ص | رد

    على فكرة من زمان كتير بتطلعي يعني هذا الحكي من كاسبر 6، بس ما خطرلي أدور عليها، شكراً كتير.

    • uramium يقول:
      نوفمبر 5, 2009 عند 1:38 م | رد

      أول ما شاهدتها ظننتها موجهة، أي أنها موجودة لغرض يخدم جهة معينة.
      الغريب أنها موجودة منذ Kaspersky 6 دون حل لها

      تحياتي

  2. Fadi Hallisso يقول:
    نوفمبر 5, 2009 عند 12:43 م | رد

    سؤال كيف ممكن أشيل فيروس autorun
    عندي AVG بشوفو وبوقفو مع كل إقلاع بس ما عميقدر يشيلو

    • uramium يقول:
      نوفمبر 5, 2009 عند 2:02 م | رد

      جرب هذا الموقع وهو فاحص online لـ Kasersky لا يتطلب منك تنصيبه كل مايجب أن يكون لديك هو

      Java Runtime environment

      واتصالاً سريعاً بالانترنت، موقع الفاحص هو:

      Kaspersky

    • medaad يقول:
      نوفمبر 8, 2009 عند 1:13 م | رد

      هناط طريقتين إحداهما سهلة والأخرى أسهل.. جرب الطريقة السهلة التالية:
      - ادخل الى سطر الأوامر عبر Run ثم CMD
      - اذهب الى الجذر الرئيسي للهارد المصاب C أو D.. وذلك بكتابة cd \
      - اكتب السطر التالي: attrib -h -r -s autorun.inf
      - ثم التالي: del autorun.inf
      - كرر العملية لبقية السواقات في الهارد درايف
      (إذا واجهت رسالة خطأ تفيد بالتالي file not found autorun.inf) تجاهلها وانتقل الى السواقة التالية للهارد..هذا يعني بأن هذا القسم من الهارد غير مصاب)
      - بعد الانتهاء من ذلك قم بإعادة تشغيل الكمبيوتر فوراً (لا تحاول أن تقوم بتشغيل أي شيء آخر خلال هذه العملية).. انتهينا..

      ملاحظة: إن استمرت المشكلة ستحتاج عندئذ اتباع الطريقة الأسهل وهي العبث بالريجستري قليلاً :)
      تحياتي لك ولرامي..

      • uramium يقول:
        نوفمبر 9, 2009 عند 10:25 ص

        الطريقة التي ذكرتها لا تكفي حسب علمي لإزالة هذا الفيروس ، بمجرد إعادة الإقلاع سيجد أن الملف عاد إلى مكانه ، الفيروس لن يذهب بهذه الطريقة ، أظن أن الطريقة التي ذكرتها تعمل مع أحد الفيروسات (دودة) وليس مع جميعها (الكثير منها يستخدم اسلوب تعديل autorun) ولا يتوقف عملها على هذا الملف ، اقترح أن يبقى على طريقة الفحص online للإزالة

  3. الجولدن يقول:
    نوفمبر 5, 2009 عند 2:30 م | رد

    سيدي البوتات و الدودات ما بيتوقف نشاطهم , هدولة متل الطابة بيضلو بيطجو بالشبكة و بيرجعوا bounce , المهم انو الطجة تبعن ما تكسر حماية جهازك و تدخلهم لجوا .
    للاسف الوعي الامني ضعيف جدا عنا , بتصور iNet و Syriatel من الشركات المهتمة بهالمجال اكتر من غيرن , بس الاهم منهم هو مؤسسة الاتصالات الحكومية و الجمعية .. و قال ما بيحك ظهرك غير ضفرك ..
    رح الطشو و اذكر المصدر بعد اذنك ;)

  4. uramium يقول:
    نوفمبر 5, 2009 عند 4:13 م | رد

    تذكرت اني قرأت شغلة عنهم من زمان بهذا الموقع Wired:When Bots attack
    وكان في هذا الدياغرام اللي بيخيل

    هلق بصراحة أكبر مشكلتين واجهوني بالانترنت هنن هي المشكلة ومشكلة الاتصال بسيرفرات الـ SMTP والاثنتين صاروا معي عبر سيريتل SURF ، حاسسها منحوسة معي ، وقت اشتريناها ، قلبوا من المجاني للمدوفوع وبعدين بلشت قصص من هذا النوع تحدف علينا

    الموضوع على حسابك هو وصاحبه :)

  5. medaad يقول:
    نوفمبر 8, 2009 عند 12:55 م | رد

    أظن بأن هذه الدودة تهاجم فقط سيرفرات SQL Server (في حالتنا هذه مزودي الخدمة فقط) وطالما أن الجهاز المصاب لا يشغل السيرفس السابق (الأجهزة المنزلية) لذلك ليس هناك خوف من هذه الدودة على المستوى المحلي لأن البورت 1434 في هذه الحالة سيكون مغلقاً الريدي. كنت سأقترح إغلاق البورت نهائياً على المستخدمين المنزليين لكن يبدو الموضوع عبثاً طالما أنهم لا يشغلون السيرفس السابق SQL Server بالأساس.. في النهاية أظن الموضوع يبقى مزعجاً فقط لتكرار ظهور الرسالة للمستخدم.. وكما قلتَ رامي على مزودي الخدمة العمل على هذا الموضوع لا المستخدمين المنزليين..
    - لإيقاف ظهور الرسالة قم بعمل disable لظهور الرسالة.
    - لإزالتها نهائياً اقرأ الموضوع التالي واتبع التعليمات بدقة:
    http://www.pchelpforum.com/fixed-hijackthis-logs/44086-being-attacked-intrusion-win-mssql-worm-helkern-worm-virus.html

    • uramium يقول:
      نوفمبر 9, 2009 عند 10:45 ص | رد

      شكراً لمساهمتك مداد ، يبقى اقتراحي بعدم تجاهل التهديد ، خاصة أن SQL Server منتشر بنسبة جيدة في الحواسب لدينا لانتشار البرامج التي تعتمد عليه، قد يكون بعيداً عن تهديد كومبيوتر منزلي كما ذكرت، على خلاف باقي الأجهزة في مواقع العمل.

اترك رد

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / تغيير )

Twitter picture

You are commenting using your Twitter account. Log Out / تغيير )

Facebook photo

You are commenting using your Facebook account. Log Out / تغيير )

إلغاء

Connecting to %s

Follow

Get every new post delivered to your Inbox.

Join 257 other followers