زوتوب‏ .. ‏فيروس‏ ‏خطير‏ ‏من‏ ‏المغرب

زوتوب ..يروس‏ ‏خطير‏من‏ ‏المغرب

اسم الفيروس: W.32ZOTOB.J & worm-RBOT.CBQ TPHOT-A NET-WORM.WIN.32BOZORI نوع الفيروس: Worm درجه الخطوره: عالي درجه الانتشار: عالي :تاريخ اكتشاف الفيروس 24 اغسطس 2005 الاثر التدميري: يفتح باب خلفي في نظام النوافذ طريقه الانتشار: عن طريق تخمين عنوان رقمي IP للانترنت للحاسبات التي يستهدفها كيفيه نشاط الفيروس: فور فك ضغط ملف الفيروس نظم التشغيل: Windows95.98.ME.NT.2000.XP.server 2003 مصدر الفيروس: المغرب وتركيا الفيروس مشفر: غير‏ ‏معروف يعتبر‏ ‏هذا‏ ‏الفيروس‏ ‏احد‏ ‏النسخ‏ ‏المعدله‏ ‏من‏ ‏فيروس‏ ‏اخر‏ ‏شهير‏ ‏يطلق‏ ‏عليه‏ Mytop ‏والاوامر‏ ‏الخاصه‏ ‏به‏ ‏موجوده‏ ‏علي‏ ‏بعض‏ ‏مواقع‏ ‏شبكه‏ ‏الانترنت‏ ‏الخاصه‏ ‏بمطوري‏ ‏الفيروسات‏, ‏وقد‏ ‏تمكن‏ ‏من‏ ‏تطوير‏ ‏نسخه‏ ‏جديده‏ ‏من‏ ‏الفيروس‏ ‏اثنين‏ ‏من‏ ‏الشباب‏ ‏احدهم‏ ‏من‏ ‏المغرب‏ ‏والاخر‏ ‏من‏ ‏تركيا‏, ‏واطلق‏ ‏علي‏ ‏هذا‏ ‏الفيروس‏ ZOTOB ‏وقد‏ ‏اصاب‏ ‏هذا‏ ‏الفيروس‏ ‏بعض‏ ‏الموسسات‏ ‏الاعلاميه‏ ‏الكبري‏ ‏مثل‏ ‏صحيفه‏ ‏نيويورك‏ ‏تايمز‏ ‏وبعض‏ ‏محطات‏ ‏القنوات‏ ‏الفضائيه‏ ‏العالميه‏ ‏مثل‏ CNN ‏و‏ ABC ‏كما‏ ‏اصاب‏ ‏بعض‏ ‏الحاسبات‏ ‏بمطار‏ ‏لوس‏ ‏انجلوس‏ ‏واصاب‏ ‏حاسبات‏ ‏بالكونجرس‏ ‏الامريكي‏, ‏الحق‏ ‏الفيروس‏ ‏اضرارا‏ ‏ببعض‏ ‏الحاسبات‏ ‏الخادمه‏ ‏بمصر‏ ‏وبعض‏ ‏الدول‏ ‏العربيه‏ ‏الاخري‏, ‏تمكنت‏ ‏الشرطه‏ ‏من‏ ‏القبض‏ ‏علي‏ ‏مطوري‏ ‏هذا‏ ‏الفيروس‏ ‏وسوف‏ ‏يقدموا‏ ‏الي‏ ‏المحاكمه‏ ‏في‏ ‏المغرب‏ ‏وتركيا‏. ‏يصيب‏ ‏هذا‏ ‏الفيروس‏ ‏الحاسبات‏ ‏التي‏ ‏تعمل‏ ‏بنظم‏ ‏تشغيل‏ ‏النوافذ‏ ‏المختلفه‏ ‏مستغلا‏ ‏ثغره‏ ‏امنيه‏ ‏يطلق‏ ‏عليها‏ Plug and Play Buffer Overflow Vulnerability ‏توجد‏ ‏بنظم‏ ‏النوافذ‏ ‏السابقه‏ ‏وقد‏ ‏قامت‏ ‏شركه‏ ‏مايكروسوفت‏ ‏باعداد‏ ‏برنامج‏ ‏لمعالجه‏ ‏هذه‏ ‏الثغره‏ ‏الامنيه‏ ‏ويمكن‏ ‏تنزيله‏ ‏من‏ ‏علي‏ ‏الموقع‏ ‏التالي www.microsoft.com/technet/security/Bulletin/MS05-039.mspx بشبكه‏ ‏الانترنت‏, ‏الحاسبات‏ ‏التي‏ ‏تعمل‏ ‏بنظم‏ ‏نوافذ‏ 2000 ‏كانت‏ ‏اكثر‏ ‏الحاسبات‏ ‏تضررا‏ ‏من‏ ‏هذا‏ ‏الفيروس‏, ‏يقول‏ ‏الخبراء‏ ‏ان‏ ‏هذا‏ ‏الفيروس‏ ‏حقق‏ ‏اكبر‏ ‏انتشار‏ ‏منذ‏ ‏اكتشاف‏ ‏فيروس‏ ‏سارس‏ ‏في‏ ‏مايو‏ 2004 ‏وما‏ ‏احدثه‏ ‏من‏ ‏خسائر‏ ‏تقدر‏ ‏بمليارات‏ ‏الدولارات‏, ‏رغم‏ ‏ان‏ ‏فيروس‏ ‏سارس‏ ‏احدث‏ ‏ضغطا‏ ‏علي‏ ‏شبكه‏ ‏الانترنت‏ ‏نتيجه‏ ‏لارساله‏ ‏مليارات‏ ‏من‏ ‏الرسائل‏ ‏الالكترونيه‏, ‏وقد‏ ‏قدر‏ ‏الخبراء‏ ‏الزياده‏ ‏في‏ ‏الحركه‏ ‏علي‏ ‏الشبكه‏ ‏بما‏ ‏يتراوح‏ ‏بين‏ 20 ‏و‏ 40% ‏الا‏ ‏ان‏ ‏فيروس‏ ‏زاتوب‏ ‏لم‏ ‏يحدث‏ ‏مثل‏ ‏هذا‏ ‏التاثير‏. ‏فور‏ ‏اصابه‏ ‏الفيروس‏ ‏للحاسب‏ ‏يقوم‏ ‏بوضع‏ ‏ملف‏ ‏باسم‏wintbp.exe ‏داخل‏ ‏المجلد‏ ‏الفرعي‏System ‏بمجلد‏ ‏نظام‏ ‏النوافذ‏ ‏الرئيسي‏, ‏اذا‏ ‏وجد‏ ‏هذا‏ ‏الملف‏ ‏بحاسبك‏ ‏فمعني‏ ‏ذلك‏ ‏ان‏ ‏الحاسب‏ ‏مصاب‏ ‏بهذا‏ ‏الفيروس‏ ‏الخطير‏, ‏كما‏ ‏يقوم‏ ‏الفيروس‏ ‏بتعديل‏ ‏ملفات‏ ‏نظام‏ ‏النوافذ‏ Registry Files ‏لكي‏ ‏يتم‏ ‏تشغيل‏ ‏الفيروس‏ ‏في‏ ‏كل‏ ‏مره‏ ‏نقوم‏ ‏فيها‏ ‏بتشغيل‏ ‏الحاسب‏. ‏يقوم‏ ‏الفيروس‏ ‏بفتح‏ ‏منفذ‏ TCP/IP Port ‏علي‏ ‏الحاسب‏ ‏المصاب‏, ‏ثم‏ ‏يقوم‏ ‏بتكوين‏ ‏عنوان‏ ‏رقمي‏ ‏للانترنت‏ IP Address ‏بشكل‏ ‏عشوائي‏, ‏ويرسل‏ ‏نسخه‏ ‏للانترنت‏ ‏الي‏ ‏هذا‏ ‏العنوان‏, ‏ليس‏ ‏من‏ ‏الصعب‏ ‏تخمين‏ ‏عناوين‏ ‏رقميه‏ ‏للانترنت‏ ‏للحاسبات‏ ‏الشخصيه‏ ‏او‏ ‏الحاسبات‏ ‏الخادمه‏.‏ الاثر‏ ‏التخريبي‏ ‏للفيروس‏: ‏ عند‏ ‏اصابه‏ ‏الحاسب‏ ‏بالفيروس‏ ‏سوف‏ ‏تظهر‏ ‏للمستخدم‏ ‏رساله‏ ‏علي‏ ‏الشاشه‏ ‏ثم‏ ‏يقوم‏ ‏الفيروس‏ ‏اوتوماتيكيا‏ ‏باعاده‏ ‏تشغيل‏ ‏الحاسب‏ Reboot ‏دون‏ ‏ان‏ ‏يترك‏ ‏فرصه‏ ‏للمستخدم‏ ‏لتخزين‏ ‏العمل‏ ‏الذي‏ ‏يقوم‏ ‏به‏.‏