خـالد
08-18-2006, 04:32 PM
تمر شركة Microsoft باحد اسوء كوابيسها في مجال أمن المعلومات ,حيث بدأت المشاكل منذ أخر 30 يوم مع ثغرات Zero-Day التي أصابت مجموعة Office في Word و Exel و PowerPoint ,و من ثم جاء مؤتمر BlackHat ليكشف عن مجموعة ثغرات في نظام Vista الذي قالت مايكروسوفت عنه بأن نظام VISTA سيكون النظام الأكثر أماناً في العالم .
وأخرها كان منذ بضعة ايام حين أطلقت مايكروسوفت 23 تحديث أمني منذ خمسة ايام ,
فأعلنت HomeLand Secuirty الاميركية في 10اغسطس أن التحديث الي اصدرت مايكروسوفت غير كافي و أن ثغرة امنية بدرجة ( عالي الخطورة ) ايضا موجودة بالنظام و أن على المستخدمين تحميل الرقعة الموجودة في الوصلة التالية :[عزيزي الزائر يتوجب عليك التسجيل بالمنتدى لمشاهدة الرابط]
لسد ثغرة remote procedure call - RPC.
و الآن , تعود المشاكل بوقوة أكبر مع دودة Mocbot التي عادت لتظهر من جديد
العودة :
أصابت الدودة خلال اليومين الماضيين ( 12 و 13اغسطس ) اكثر من 133000 جهاز كمبيوتر ,
الدودة بالشكل الجديد تستغل برامج الـ Bots الخاصة بخدمة المحادثة الشهيرة IRC عبر IRC-controlled Service مسببة بذلك تشغيل عدة اسطر برمجية في جهاز الضحية و تمكينه من التحكم بالبيانات المرسلة و المستلمة ما يعني أن كافة المعلومات الشخصية أصبحت في متناول المخترق .
التفاصيل :
الدودة الجديدة لا زالت تحمل الاسم wgareg.exe
حجم الملف التنفيذي : 9,609 بايت , أي 9 كيلو بايت فقط .
تشفير MD5 sum هو : 9928a1e6601cf00d0b7826d13fb556f0
و الـ SHA1 هو : 352a276346eabde7bfce9efee732a973e0d26baa
الـ Packing من خلال : MEW
تقوم الدودة بتشغيل حساب على الانظمة المبنية ببنية NT أي XP/2003/2000/NT و تقوم بانشاء خدمة جديدة تحت اسم Windows Genuine Advantage Registration Service وتبداء تشغيلها عند كل اقلاع جديد للنظام .
ظهرت الدودة اول مرة أخر عام 2005 باسم Mocbot , حيث أصاب الاجهزة من خلال التحديث الامني MS05-039 PNP .
و ظهرت منذ شهر و نصف عبر برنامج المحادثة AOL تحت اسم Cuebot-K .
الدودة عادت مستخدمة ثغرة امنية موجودة في التحديث الأمني الذي اطلق بتاريخ 8اغسطس تحت اسم ms06-040 و مستخدمة ايضا كما فعلت سابقا الىلية ذاتها عبر خدمة المحادثة IRC .
و في استطلاعنا فيتبين ان السيرفرات المستخدمة ايضا في الصين , رغم كل الخطوات التي تتخدذها الحكومة الصينية لمنع تشغيل سيرفرات غير مراقبة من قبل المخدمات الحكومية .
وقد حصلنا على تقرير AntiVir الذي صدر منذ ساعات و الواضح في التقرير أن حوالي الثلث فقط من الشركات التي تم ارسال الملف لها استطاعت التعرف عليه أو على أحد خصائصه , و كما هو مبين في الصورة فإن الشركات الكبيرة مثل Microsoft و Symantec و McAfee لم تستطع التعرف عليه
[عزيزي الزائر يتوجب عليك التسجيل بالمنتدى لمشاهدة الرابط]
في التفصيل البرمجي الخاص بالدودة تبين أن السيرفرين الموجودين في عمق الاسطر البرمجية يؤديان إلى كل من :
bniu.househot.com
ypgw.wallloan.com
عناوين الـ IP المكتشفة حتى الان و الدالة عليهما هي :
58.81.137.157
61.163.231.115
61.189.243.240
202.121.199.200
211.154.135.30
218.61.146.86
المعلومات الصادرة عم جهاز الحضية يتم استقبلها و ررسالها عبر 445/TCP
( طبعا لا بد من وجود غيرها ) .
و بانتظار حديث أمني جديد من Microsoft .. نرجوا أن لا يطول .
وأخرها كان منذ بضعة ايام حين أطلقت مايكروسوفت 23 تحديث أمني منذ خمسة ايام ,
فأعلنت HomeLand Secuirty الاميركية في 10اغسطس أن التحديث الي اصدرت مايكروسوفت غير كافي و أن ثغرة امنية بدرجة ( عالي الخطورة ) ايضا موجودة بالنظام و أن على المستخدمين تحميل الرقعة الموجودة في الوصلة التالية :[عزيزي الزائر يتوجب عليك التسجيل بالمنتدى لمشاهدة الرابط]
لسد ثغرة remote procedure call - RPC.
و الآن , تعود المشاكل بوقوة أكبر مع دودة Mocbot التي عادت لتظهر من جديد
العودة :
أصابت الدودة خلال اليومين الماضيين ( 12 و 13اغسطس ) اكثر من 133000 جهاز كمبيوتر ,
الدودة بالشكل الجديد تستغل برامج الـ Bots الخاصة بخدمة المحادثة الشهيرة IRC عبر IRC-controlled Service مسببة بذلك تشغيل عدة اسطر برمجية في جهاز الضحية و تمكينه من التحكم بالبيانات المرسلة و المستلمة ما يعني أن كافة المعلومات الشخصية أصبحت في متناول المخترق .
التفاصيل :
الدودة الجديدة لا زالت تحمل الاسم wgareg.exe
حجم الملف التنفيذي : 9,609 بايت , أي 9 كيلو بايت فقط .
تشفير MD5 sum هو : 9928a1e6601cf00d0b7826d13fb556f0
و الـ SHA1 هو : 352a276346eabde7bfce9efee732a973e0d26baa
الـ Packing من خلال : MEW
تقوم الدودة بتشغيل حساب على الانظمة المبنية ببنية NT أي XP/2003/2000/NT و تقوم بانشاء خدمة جديدة تحت اسم Windows Genuine Advantage Registration Service وتبداء تشغيلها عند كل اقلاع جديد للنظام .
ظهرت الدودة اول مرة أخر عام 2005 باسم Mocbot , حيث أصاب الاجهزة من خلال التحديث الامني MS05-039 PNP .
و ظهرت منذ شهر و نصف عبر برنامج المحادثة AOL تحت اسم Cuebot-K .
الدودة عادت مستخدمة ثغرة امنية موجودة في التحديث الأمني الذي اطلق بتاريخ 8اغسطس تحت اسم ms06-040 و مستخدمة ايضا كما فعلت سابقا الىلية ذاتها عبر خدمة المحادثة IRC .
و في استطلاعنا فيتبين ان السيرفرات المستخدمة ايضا في الصين , رغم كل الخطوات التي تتخدذها الحكومة الصينية لمنع تشغيل سيرفرات غير مراقبة من قبل المخدمات الحكومية .
وقد حصلنا على تقرير AntiVir الذي صدر منذ ساعات و الواضح في التقرير أن حوالي الثلث فقط من الشركات التي تم ارسال الملف لها استطاعت التعرف عليه أو على أحد خصائصه , و كما هو مبين في الصورة فإن الشركات الكبيرة مثل Microsoft و Symantec و McAfee لم تستطع التعرف عليه
[عزيزي الزائر يتوجب عليك التسجيل بالمنتدى لمشاهدة الرابط]
في التفصيل البرمجي الخاص بالدودة تبين أن السيرفرين الموجودين في عمق الاسطر البرمجية يؤديان إلى كل من :
bniu.househot.com
ypgw.wallloan.com
عناوين الـ IP المكتشفة حتى الان و الدالة عليهما هي :
58.81.137.157
61.163.231.115
61.189.243.240
202.121.199.200
211.154.135.30
218.61.146.86
المعلومات الصادرة عم جهاز الحضية يتم استقبلها و ررسالها عبر 445/TCP
( طبعا لا بد من وجود غيرها ) .
و بانتظار حديث أمني جديد من Microsoft .. نرجوا أن لا يطول .