بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
علم المركز الوطني الارشادي أن هناك تزايد في اعداد التهديدات الامنية من دودة تدعى Conficker.C على الانترنت ، من شأنه أن تبدئ فاعليتها في الأول من نيسان / ابريل المقبل. يعمل المركز الوطني الارشادي مع مختلف الجهات المحلية والخارجية للحد من مخاطرهذا الخطر
ftp://ftp.f-secure.com/anti-virus/to...f-downadup.zip
المصدر : المركز الوطني الإرشادي لأمن المعلومات
www.cert.gov.sa
تحياتي،،،
السلام عليكم ورحمة الله وبركاته
علم المركز الوطني الارشادي أن هناك تزايد في اعداد التهديدات الامنية من دودة تدعى Conficker.C على الانترنت ، من شأنه أن تبدئ فاعليتها في الأول من نيسان / ابريل المقبل. يعمل المركز الوطني الارشادي مع مختلف الجهات المحلية والخارجية للحد من مخاطرهذا الخطر
أعراض الأجهزة المصابة
تدل الأعراض التالية على إصابة الجهاز بدودة "كونفيكر":
- عدم القدرة على الدخول على مواقع برامج مضادات الفيروسات.
- تعطيل بعض خدمات النظام مثل التحديث التلقائي لنظام التشغيل، خدمة مركز الأمن في ويندوز، برنامج "Windows Defender" وخدمة "Windows Error Reporting" وخدمة "Internet connection sharing service".
- حذف نقاط استعادة النظام.
- تدفق البيانات بصورة هائلة على منفذ "445" في الشبكات المصابة.
- وجود ملفات مخفية حتى بتفعيل خيار اظهارها في نظام ويندوز.
- عدم القدرة على الدخول على النظام باستخدام اسم المستخدم وكلمة السر بحجة ايقاف الحساب على الجهاز.
خطوات اكتشاف الاجهزة المصابة
هناك عدد من المواد المتوفرة لاكتشاف الاصابة بدودة "كونفيكر" تتلخص فيما يلي:
- استخدام أداة " regnfile.exe"، وهي تقوم بفحص ملفات النظام واعدادت التسجيل "Registry"، واكتشاف اي ملفات تخص هذه الدودة، ويمكن الحصول عليها من الرابط التالي:
- يمكن للمنظمات والمؤسسات استخدام أداة لمسح الشبكة واكتشاف الاجهزة المصابة عن بعد عن طريق مسح نطاق معين من عناوين الشبكة المحلية "IP"، ويمكن الحصول على الاداة من الرابط التالي:
يتم تشغيل الأداة من برنامج "cmd" بالطريقة التالية:
scs.exe IP_start IP_end
حيث أن " IP_start " هو بداية نطاق عناوين الشبكة، و" IP_end " هو نهاية نطاق عناوين الشبكة. مثال:
scs.exe 10.1.1.1 10.1.1.254
حيث ستظهر عبارة " seems to be infected by Conficker. " بعد عنوان الجهاز المصاب.
خطوات حذف دودة "كونفيكر"
يمكن حذف دودة "كونفيكر" من الجهاز المصاب باستخدام الخطوات التالية:
- قم بتشغيل احد الأدوات المتوفر لحذف هذه الدودة والتي قدمتها عدد من شركات متخصصة في الحماية ومنها على سبيل المثال:
تدل الأعراض التالية على إصابة الجهاز بدودة "كونفيكر":
- عدم القدرة على الدخول على مواقع برامج مضادات الفيروسات.
- تعطيل بعض خدمات النظام مثل التحديث التلقائي لنظام التشغيل، خدمة مركز الأمن في ويندوز، برنامج "Windows Defender" وخدمة "Windows Error Reporting" وخدمة "Internet connection sharing service".
- حذف نقاط استعادة النظام.
- تدفق البيانات بصورة هائلة على منفذ "445" في الشبكات المصابة.
- وجود ملفات مخفية حتى بتفعيل خيار اظهارها في نظام ويندوز.
- عدم القدرة على الدخول على النظام باستخدام اسم المستخدم وكلمة السر بحجة ايقاف الحساب على الجهاز.
خطوات اكتشاف الاجهزة المصابة
هناك عدد من المواد المتوفرة لاكتشاف الاصابة بدودة "كونفيكر" تتلخص فيما يلي:
- استخدام أداة " regnfile.exe"، وهي تقوم بفحص ملفات النظام واعدادت التسجيل "Registry"، واكتشاف اي ملفات تخص هذه الدودة، ويمكن الحصول عليها من الرابط التالي:
- يمكن للمنظمات والمؤسسات استخدام أداة لمسح الشبكة واكتشاف الاجهزة المصابة عن بعد عن طريق مسح نطاق معين من عناوين الشبكة المحلية "IP"، ويمكن الحصول على الاداة من الرابط التالي:
يتم تشغيل الأداة من برنامج "cmd" بالطريقة التالية:
scs.exe IP_start IP_end
حيث أن " IP_start " هو بداية نطاق عناوين الشبكة، و" IP_end " هو نهاية نطاق عناوين الشبكة. مثال:
scs.exe 10.1.1.1 10.1.1.254
حيث ستظهر عبارة " seems to be infected by Conficker. " بعد عنوان الجهاز المصاب.
خطوات حذف دودة "كونفيكر"
يمكن حذف دودة "كونفيكر" من الجهاز المصاب باستخدام الخطوات التالية:
- قم بتشغيل احد الأدوات المتوفر لحذف هذه الدودة والتي قدمتها عدد من شركات متخصصة في الحماية ومنها على سبيل المثال:
ftp://ftp.f-secure.com/anti-virus/to...f-downadup.zip
- قم تحديث نظام التشغيل ويندوز، وكذلك تحديث نظام مضاد الفيروسات.
- تأكد من عمل الجدار الناري في جهازك وفاعليته في حجب الوصول إلى منافذ الجهاز وخصوصا منفذي "139" و"445".
- قم بتعطيل خاصية التشغيل التلقائي لوسائط التخزين المختلفة.
- تأكد من عمل الجدار الناري في جهازك وفاعليته في حجب الوصول إلى منافذ الجهاز وخصوصا منفذي "139" و"445".
- قم بتعطيل خاصية التشغيل التلقائي لوسائط التخزين المختلفة.
المصدر : المركز الوطني الإرشادي لأمن المعلومات
www.cert.gov.sa
تحياتي،،،