دودة في شبكة الانترنت السورية لاتجد رادعاً

إن كنت من مستخدمي مضاد فيروسات أو برنامج Internet security فعال ومحدث وتتصل بشبكة الانترنت لابد إذا أنك واجهت محاولة اختراق لحاسبك من قبل دودة spphire أو slammer أو كما يسميها مضاد فيروسات Kaspersky worm.MSSQL.helkern

worm

ماهي؟

عبارة عن هجوم BOT* يقال أن مصدره الصين ويمرر بالدرجة الاولى عبر سيرفرات الويب العمومية التي تحمل Microsoft SQL SERVER 2000.

بشكل أوضح هناك مجموعة من الأشخاص يقومون بنشر هذه البرمجية لاصطياد الحواسب مثل حاسبك ويتحكمون به عن بعد لأغراض خاصة بهم كالتي ذكرتها.

الحماية

مسؤولية إيقاف هذه الدودة تقع على مزود الخدمة والذي هو في حالتي الجمعية المعلوماتية السورية وسيريتل لأنها المسؤولة في الدرجة الأولى عن تأمين سيرفراتها ضد هجوم مماثل.

ماذا لو أن المتصل بالانترنت لايملك مضاد فيروسات بجدار ناري يوقف مثل هذا الهجوم؟ وجود حواسبنا وراء ملقمات يلقي بالمسؤولية على هذه الأخيرة في رد هكذا هجوم، حال حواسبنا لا تشابه حال حواسب متصلة بالانترنت في دول العالم الاخرى فحواسبنا ليست بمواجهة مباشرة مع الشبكة العالمية.

الحل

استخدام مضاد فيروسات والتأكد من وجود جدار ناري فعال يوقف مثل هذا الهجوم، ما أعرفه أنه أثناء استخدامي أن Kaspersky و Norton و Bitdefender توقف مثل هذا الهجوم.

هو تساؤل ومحاولة تفسير تنتظر تبرير مزودي الخدمة في سوريا

 

——————–

BOT هو برمجية تقوم باستغلال حاسبك بحيث تتحكم به عن بعد وتستخدمه لإرسال عدد كبير من الرسائل أو القيام بهجوم Denial of service على مواقع معينة

الأوسمة: , , , , , , , , , , , ,

10 تعليقات to “دودة في شبكة الانترنت السورية لاتجد رادعاً”

  1. علوش Says:

    على فكرة من زمان كتير بتطلعي يعني هذا الحكي من كاسبر 6، بس ما خطرلي أدور عليها، شكراً كتير.

    • uramium Says:

      أول ما شاهدتها ظننتها موجهة، أي أنها موجودة لغرض يخدم جهة معينة.
      الغريب أنها موجودة منذ Kaspersky 6 دون حل لها

      تحياتي

  2. Fadi Hallisso Says:

    سؤال كيف ممكن أشيل فيروس autorun
    عندي AVG بشوفو وبوقفو مع كل إقلاع بس ما عميقدر يشيلو

    • uramium Says:

      جرب هذا الموقع وهو فاحص online لـ Kasersky لا يتطلب منك تنصيبه كل مايجب أن يكون لديك هو

      Java Runtime environment

      واتصالاً سريعاً بالانترنت، موقع الفاحص هو:

      Kaspersky

    • medaad Says:

      هناط طريقتين إحداهما سهلة والأخرى أسهل.. جرب الطريقة السهلة التالية:
      – ادخل الى سطر الأوامر عبر Run ثم CMD
      – اذهب الى الجذر الرئيسي للهارد المصاب C أو D.. وذلك بكتابة cd \
      – اكتب السطر التالي: attrib -h -r -s autorun.inf
      – ثم التالي: del autorun.inf
      – كرر العملية لبقية السواقات في الهارد درايف
      (إذا واجهت رسالة خطأ تفيد بالتالي file not found autorun.inf) تجاهلها وانتقل الى السواقة التالية للهارد..هذا يعني بأن هذا القسم من الهارد غير مصاب)
      – بعد الانتهاء من ذلك قم بإعادة تشغيل الكمبيوتر فوراً (لا تحاول أن تقوم بتشغيل أي شيء آخر خلال هذه العملية).. انتهينا..

      ملاحظة: إن استمرت المشكلة ستحتاج عندئذ اتباع الطريقة الأسهل وهي العبث بالريجستري قليلاً🙂
      تحياتي لك ولرامي..

      • uramium Says:

        الطريقة التي ذكرتها لا تكفي حسب علمي لإزالة هذا الفيروس ، بمجرد إعادة الإقلاع سيجد أن الملف عاد إلى مكانه ، الفيروس لن يذهب بهذه الطريقة ، أظن أن الطريقة التي ذكرتها تعمل مع أحد الفيروسات (دودة) وليس مع جميعها (الكثير منها يستخدم اسلوب تعديل autorun) ولا يتوقف عملها على هذا الملف ، اقترح أن يبقى على طريقة الفحص online للإزالة

  3. الجولدن Says:

    سيدي البوتات و الدودات ما بيتوقف نشاطهم , هدولة متل الطابة بيضلو بيطجو بالشبكة و بيرجعوا bounce , المهم انو الطجة تبعن ما تكسر حماية جهازك و تدخلهم لجوا .
    للاسف الوعي الامني ضعيف جدا عنا , بتصور iNet و Syriatel من الشركات المهتمة بهالمجال اكتر من غيرن , بس الاهم منهم هو مؤسسة الاتصالات الحكومية و الجمعية .. و قال ما بيحك ظهرك غير ضفرك ..
    رح الطشو و اذكر المصدر بعد اذنك😉

  4. uramium Says:

    تذكرت اني قرأت شغلة عنهم من زمان بهذا الموقع Wired:When Bots attack
    وكان في هذا الدياغرام اللي بيخيل

    هلق بصراحة أكبر مشكلتين واجهوني بالانترنت هنن هي المشكلة ومشكلة الاتصال بسيرفرات الـ SMTP والاثنتين صاروا معي عبر سيريتل SURF ، حاسسها منحوسة معي ، وقت اشتريناها ، قلبوا من المجاني للمدوفوع وبعدين بلشت قصص من هذا النوع تحدف علينا

    الموضوع على حسابك هو وصاحبه🙂

  5. medaad Says:

    أظن بأن هذه الدودة تهاجم فقط سيرفرات SQL Server (في حالتنا هذه مزودي الخدمة فقط) وطالما أن الجهاز المصاب لا يشغل السيرفس السابق (الأجهزة المنزلية) لذلك ليس هناك خوف من هذه الدودة على المستوى المحلي لأن البورت 1434 في هذه الحالة سيكون مغلقاً الريدي. كنت سأقترح إغلاق البورت نهائياً على المستخدمين المنزليين لكن يبدو الموضوع عبثاً طالما أنهم لا يشغلون السيرفس السابق SQL Server بالأساس.. في النهاية أظن الموضوع يبقى مزعجاً فقط لتكرار ظهور الرسالة للمستخدم.. وكما قلتَ رامي على مزودي الخدمة العمل على هذا الموضوع لا المستخدمين المنزليين..
    – لإيقاف ظهور الرسالة قم بعمل disable لظهور الرسالة.
    – لإزالتها نهائياً اقرأ الموضوع التالي واتبع التعليمات بدقة:
    http://www.pchelpforum.com/fixed-hijackthis-logs/44086-being-attacked-intrusion-win-mssql-worm-helkern-worm-virus.html

    • uramium Says:

      شكراً لمساهمتك مداد ، يبقى اقتراحي بعدم تجاهل التهديد ، خاصة أن SQL Server منتشر بنسبة جيدة في الحواسب لدينا لانتشار البرامج التي تعتمد عليه، قد يكون بعيداً عن تهديد كومبيوتر منزلي كما ذكرت، على خلاف باقي الأجهزة في مواقع العمل.

أضف تعليقاً

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s


%d مدونون معجبون بهذه: