|
| القرية الالكترونية
 *
* الجزيرة مكتب القاهرة عبد السلام لملوم:
أدى الإعلان عن ظهور فيروس صيني جديد يحمل اسم الشفرة الزرقاء (Code BlueWorm) إلى إثارة حالة من الرعب والفزع في شرق العالم وغربه حيث تم إعلان حالة الطوارئ القصوى في شركات مكافحة الفيروسات و شبكات الكمبيوتر اليابانية والبريطانية والفرنسية بالإضافة إلى الولايات المتحدة وروسيا الاتحادية تحسباً لوصول الفيروس إليها.
تحذير عالي الخطورة
واصدر المركز الوطني الأمريكي لحماية شبكات الكمبيوتر والبنى التحتية (NIPC) التابع لوكالة التحقيقات الفيدرالية الأمريكية (FBI) تحذيرا من الدرجة (A) عالية الخطورة إلى المسؤولين عن إدارة مواقع الإنترنت الحكومية والشبكات التابعة لها طالب فيه برفع درجة الاستعداد لان الفيروس الجديد يستهدف تدمير مواقع الإنترنت والبنى التحتية الخاصة بها وهو اكثرخطورة من فيروس الشفرة الحمراء الذي ظهر لأول مرة في19 يوليو الماضي وادى إلى حدوث خسائر فادحة في شهر أغسطس الماضي عندما قام الجيل الثاني منه بضرب أجهزة الكمبيوتر في أوربا وآسيا وأمريكا مما أسفر عن خسائر تجاوزت 2 بليون دولار أمريكي، و أصدرت وزارة الأمن العام الصينية تحذيرا مماثلا دعت فيه مديري الشبكات ومواقع الإنترنت وشركات تقديم الخدمة إلى ضرورة توخي الحذر حتى لا تتكرر مأساة 22 أغسطس الماضي عندما تمكن فيروس الشفرة الحمراء من ضرب اكثر من 1400 جهاز خدمة في اكثر من20 مقاطعه ومدينة صينية خلال اقل من ثلاث ساعات.
قدرة على الخداع
وأعلن متحدث باسم مركز تحقيقات فيروسات الكمبيوتر في مقاطعة تانيان الصينية ان خبراء المركز تمكنوا من رصد الفيروس وتحليل شفرته وهو يشبه إلى حد كبير فيروس الشفرة الحمراء لكنة اشد تدميرا واكثر قدرة على الخداع والمراوغة وهو يتسلل إلى أجهزة الكمبيوتر المستهدفة من خلال بعض الثغرات الأمنية في برنامج إنترنت انفورميشن سيرفس (IIS) وهو برنامج موجود ضمن حزمة أنظمة تشغيل ويندوز2000 و ويندوز NT ويتسبب الفيروس عند بداية الإصابة به في إبطاء أنظمة التشغيل وإلغاء بعض الوظائف والمهام داخلها وعلى رأسها عمليات الطباعة قبل ان يقوم بتدمير نظام التشغيل تماما، و قال المتحدث ان التحليل الأولي لشفرة الفيروس يشير إلى انه ربما يكون نسخة متطورة من فيروس الشفرة الحمراء تم تصميمها خصيصا لإطلاق هجمات إنكار الخدمة على موقع شركة ان اس فوكس وهي واحدة من اشهر واكبر شركات مكافحة الفيروسات وحماية أنظمة الكمبيوتر في الصين وقال «يان جي شون» خبير مكافحة الفيروسات في فرع شركة تريند ماكرو بالعاصمة بكين ان فيروس الشفرة الزرقاء مكتوب بلغتي فيجوال بيسيكو ++C اللتين تعتمدهما مايكروسوفت في تصميم بعض برامجها ونحن نعتقد ان مصممه قام بتنشيطه من داخل شبكة الكمبيوتر التابعة لجامعة يوان دونج الصينية وهوما حدث أيضا مع فيروس الشفرة الحمراء(Code Red) الذي ظهر في 19 يوليو الماضي ومازال يواصل انتشاره حتى الآن.
ثغرة قديمة
وأوضح «شون» ان الفيروس يستغل ثغرة قديمة في برنامج إنترنت انفورميشن سيرفس وهي تتيح للقراصنة والمبرمجين الخبثاء إمكانية التحكم في أجهزة الخدمة (السير فر) وإحداث أي تعديلات سواء بالحذف أو الإضافة أو الإلغاء أو التدمير على أي صفحات أو برامج موجودة بداخلها وهو ما حدث بالفعل على نطاق واسع في الفترة من 12 إلى 16 من فبراير الماضي عندما قام القراصنة من خلال هذه الثغرة بتدمير مواقع شركات كومباك و التافيستا واتش بي كروب وانتل وليكوس وصحيفة نيويورك تايمز، وأكد ستيفن سندرمان نائب رئيس شركة سنترال كوماند لمكافحة الفيروسات ان معدل انتشار فيروس الشفرة الزرقاء مازال بطيئا حتى الآن ولم يصل بعد إلى الحالة الوبائية لكن هذا الوضع يمكن ان يتغير في أية لحظة خاصة ان الفيروس يعتمد على تقنية متطورة تتيح له خداع برامج مكافحة الفيروسات الموجودة في أجهزة الخدمة ويقوم بإرسال طلب دخول يحتوي على معلومات مغلوطة ومشوهة إلى الجهاز المستهدف تتضمن أمرا بفتح الاتصال عبر بروتوكول FTP وتحميل نسخة معدلة من ملف HTTPEXT.DLL (الموجود في برنامج إنترنت انفورميشن سيرفس ) تحمل في داخلها الملف التنفيذي للفيروس من الجهاز الذي يقوم بالهجوم وبعد ذلك يقوم بوضع هذا الملف بدلا من ملف c:\inetpub\wwwroot\scripts في الجهاز الضحية الذي يصبح تحت السيطرة الكاملة للفيروس ويتغير اسمه إلى http//victim.comscripts/ httpext.dll وبعد ذلك يقوم الفيروس بإنشاء ملف تنفيذي يحمل اسم c:\Svchost.exe ويتم إضافة إلى مفتاح التسجيل الرئيسي داخل نظام التشغيل ليسمح بتنشيط الفيروس تلقائيا عند كل مرة يعاد فيها تشغيل جهاز الكمبيوتر المصاب، ولا يكتفي الفيروس بذلك لكنه يقوم أيضا بإنشاء ملف يحمل اسم c:\d.vbs داخل مجلد الوظائف المؤقتة في نظام التشغيل تكون مهمته الأساسية إلغاء أو تعطيل جميع الملفات التي تحمل الامتداد ida و idq المسؤولة عن عمليات طباعة الصفحات على الجهاز المصاب ثم يقوم بعد ذلك باختيار أي برتوكول إنترنت بشكل عشوائي وإصابة أي جهاز خدمة آخر متصل به أو يعمل من خلاله وبعد سيطرة الفيروس الكاملة على الجهاز الضحية يقوم بفحص توقيت نظام التشغيل وإذا كانت الساعة تشير إلى العاشرة أو الحادية عشره صباحا أو ما بينهما بالتوقيت العالمي يبدأ الفيروس في شن هجوم بنظام إنكار الخدمة لمدة ساعة يوميا ضد بعض المواقع التابعة لشركات مكافحة الفيروسات وعلى رأسها موقع شركة ان اس فوكس الصينية وعنوانه http:// www.nsfocus.com وبعد انتهاء الفترة الزمنية المحددة للهجوم يقوم الفيروس بشن هجوم مماثل على أجهزة الخدمة المصابة به مما يؤدي إلى إبطائها.
مهمة غريبة للفيروس !
لكن اغرب مهمة يقوم بها هذا الفيروس هي تحصين الجهاز الذي أصيب به حتى لا يتمكن فيروس الشفرة الحمراء أو قراصنة الكمبيوتر من إصابته أو اختراقه مستقبلا حيث يجري فحصا شاملا لنظام التشغيل الخاضع لسيطرته بحثا عن أي ملفات تنفيذية لفيروس الشفرة الحمراء وفي حالة العثور علىها يقوم بحذفها فورا ثم يجري مجموعة من التعديلات المعقدة على برتوكول HTTP تجعل من الصعب على أي قرصان أو فيروس اختراق الجهاز مرة أخرى وقد أعلنت شركات كابرنسكي الروسية وصوفا البريطانية وسيمانتيك الامريكية واف سكيور الفنلندية المتخصصة في مكافحة الفيروسات حالة الطوارئ القصوى بينما أغلقت شركة ان اس فوكس الصينية موقعها إلى اجل غير مسمى ووصف متحدث رسمي باسم شركة كابرنسكي الفيروس بأنه على درجة عالية من الخطورة مشيرا إلى ان الشركة تلقت مئات البلاغات بوجود حالات إصابة به في روسيا الاتحادية وروسيا البيضاء وليتوانيا وأوكرانيا و استو نيا و لاتفيا.
الوضع مطمئن
و أشار إلى ان فيروس الشفرة الزرقاء يشكل خطورة كبيرة على مواقع الإنترنت التي تعمل من خلال أنظمة تشغيل ويندوز 2000 وويندوز NT، من ناحيتها أطلقت شركة سيمانتيك على الفيروس الجديد اسم w32.blue code worm وقالت ان حجم ملفه التنفيذي لا يتجاوز 29 كيلو بايت وقد تم العثور على نسخة أخرى مضغوطة يصل حجمها إلى 14 كيلو بايت فقط و أكدت أنها تلقت عدة بلاغات من داخل الولايات المتحدة و أوربا لكن معظمها كان بسبب حالة الفزع التي تسبب فيها ظهور الفيروس وحذرت من ان هذا الفيروس يستطيع الوصول إلى أي جهاز خدمة آخر يمكن الدخول إليه من خلال الجهاز الذي يحتوي على ملفه التنفيذي. وأكد ميكو هايبون خبير المكافحة في شركة اف سكيورالفنلندية إلى ان شركته تلقت عدة بلاغات بوجود حالات إصابة بالفيروس في بعض دول أوربا الشرقية لكن الوضع مازال مطمئنا حتى الان ولم يصل إلى درجة الوباء مشيرا إلى سهولة التخلص من هذا الفيروس عن طريق إزالة ملفه التنفيذي الذي يحمل اسمcode.blue.exe أو c:\svchost.exe من خلال الدخول على قائمة البداية(start) واختيار أمر Run من قائمة المهام وكتابة أمر regedit في مربع الحوار ثم الضغط على أمر ok لفتح محرر ملفات التسجيل بعد ذلك يتم اختيارمفتاح HKEY_LOCAL_MACHINE\S oftware\Microsoft\Windows\C urrentVerssion\RUN ومن خلال القائمة الموجودة إلى يمين المتصفح يتم اختيار القيمة التي تشيرإلى ملف c:\svchost.exe وحذفه والتأكيد على أمر الحذف قبل الخروج من محررملفات التسجيل ثم يتم بعد ذلك إعادة تشغيل الجهاز. وقال هيبون ان مستخدمي أنظمة تشغيل ويندوز 2000 وويندوز NT الذين قاموا بتحميل الباتش الخاص الذي طرحته شركة مايكروسوفت في أكتوبر الماضي لسد الثغرة الأمنية في برنامج إنترنت انفورميشن سيرفس يمكنهم تشغيل أجهزة الخدمة الموجودة لديهم بشكل تقليدي جدا ودون أي قلق لان الفيروس لن يتمكن من إصابتها أو التسبب في أي ضرر لها.
|
|
|
|
|
