زوتوب‏ .. ‏فيروس‏ ‏خطير‏ ‏من‏ ‏المغرب

اسم الفيروس: W.32ZOTOB.J & worm-RBOT.CBQ TPHOT-A NET-WORM.WIN.32BOZORI نوع الفيروس: Worm درجة الخطورة: عالى درجة الانتشار: عالى :تاريخ اكتشاف الفيروس 24 اغسطس 2005 الاثر التدميرى: يفتح باب خلفى فى نظام النوافذ طريقة الانتشار: عن طريق تخمين عنوان رقمى IP للإنترنت للحاسبات التى يستهدفها كيفية نشاط الفيروس: فور فك ضغط ملف الفيروس نظم التشغيل: Windows95.98.ME.NT.2000.XP.server 2003 مصدر الفيروس: المغرب وتركيا الفيروس مشفر: غير‏ ‏معروف يعتبر‏ ‏هذا‏ ‏الفيروس‏ ‏أحد‏ ‏النسخ‏ ‏المعدلة‏ ‏من‏ ‏فيروس‏ ‏آخر‏ ‏شهير‏ ‏يطلق‏ ‏عليه‏ Mytop ‏الذي‏ ‏تحدثنا‏ ‏عنه‏ ‏في‏ ‏العدد‏ 53 ‏لمجلة‏ ‏لغة‏ ‏العصر‏ ‏والأوامر‏ ‏الخاصة‏ ‏به‏ ‏موجودة‏ ‏علي‏ ‏بعض‏ ‏مواقع‏ ‏شبكة‏ ‏الإنترنت‏ ‏الخاصة‏ ‏بمطوري‏ ‏الفيروسات‏, ‏وقد‏ ‏تمكن‏ ‏من‏ ‏تطوير‏ ‏نسخة‏ ‏جديدة‏ ‏من‏ ‏الفيروس‏ ‏اثنين‏ ‏من‏ ‏الشباب‏ ‏أحدهم‏ ‏من‏ ‏المغرب‏ ‏والآخر‏ ‏من‏ ‏تركيا‏, ‏وأطلق‏ ‏علي‏ ‏هذا‏ ‏الفيروس‏ ZOTOB ‏وقد‏ ‏أصاب‏ ‏هذا‏ ‏الفيروس‏ ‏بعض‏ ‏المؤسسات‏ ‏الإعلامية‏ ‏الكبري‏ ‏مثل‏ ‏صحيفة‏ ‏نيويورك‏ ‏تايمز‏ ‏وبعض‏ ‏محطات‏ ‏القنوات‏ ‏الفضائية‏ ‏العالمية‏ ‏مثل‏ CNN ‏و‏ ABC ‏كما‏ ‏أصاب‏ ‏بعض‏ ‏الحاسبات‏ ‏بمطار‏ ‏لوس‏ ‏أنجلوس‏ ‏وأصاب‏ ‏حاسبات‏ ‏بالكونجرس‏ ‏الأمريكي‏, ‏ألحق‏ ‏الفيروس‏ ‏أضرارا‏ ‏ببعض‏ ‏الحاسبات‏ ‏الخادمة‏ ‏بمصر‏ ‏وبعض‏ ‏الدول‏ ‏العربية‏ ‏الأخري‏, ‏تمكنت‏ ‏الشرطة‏ ‏من‏ ‏القبض‏ ‏علي‏ ‏مطوري‏ ‏هذا‏ ‏الفيروس‏ ‏وسوف‏ ‏يقدموا‏ ‏إلي‏ ‏المحاكمة‏ ‏في‏ ‏المغرب‏ ‏وتركيا‏. ‏يصيب‏ ‏هذا‏ ‏الفيروس‏ ‏الحاسبات‏ ‏التي‏ ‏تعمل‏ ‏بنظم‏ ‏تشغيل‏ ‏النوافذ‏ ‏المختلفة‏ ‏مستغلا‏ ‏ثغرة‏ ‏أمنية‏ ‏يطلق‏ ‏عليها‏ Plug and Play Buffer Overflow Vulnerability ‏توجد‏ ‏بنظم‏ ‏النوافذ‏ ‏السابقة‏ ‏وقد‏ ‏قامت‏ ‏شركة‏ ‏مايكروسوفت‏ ‏بإعداد‏ ‏برنامج‏ ‏لمعالجة‏ ‏هذه‏ ‏الثغرة‏ ‏الأمنية‏ ‏ويمكن‏ ‏تنزيله‏ ‏من‏ ‏علي‏ ‏الموقع‏ ‏التالي www.microsoft.com/technet/security/Bulletin/MS05-039.mspx بشبكة‏ ‏الإنترنت‏, ‏الحاسبات‏ ‏التي‏ ‏تعمل‏ ‏بنظم‏ ‏نوافذ‏ 2000 ‏كانت‏ ‏أكثر‏ ‏الحاسبات‏ ‏تضررا‏ ‏من‏ ‏هذا‏ ‏الفيروس‏, ‏يقول‏ ‏الخبراء‏ ‏أن‏ ‏هذا‏ ‏الفيروس‏ ‏حقق‏ ‏أكبر‏ ‏انتشار‏ ‏منذ‏ ‏اكتشاف‏ ‏فيروس‏ ‏سارس‏ ‏في‏ ‏مايو‏ 2004 ‏وما‏ ‏أحدثه‏ ‏من‏ ‏خسائر‏ ‏تقدر‏ ‏بمليارات‏ ‏الدولارات‏, ‏رغم‏ ‏أن‏ ‏فيروس‏ ‏سارس‏ ‏أحدث‏ ‏ضغطا‏ ‏علي‏ ‏شبكة‏ ‏الإنترنت‏ ‏نتيجة‏ ‏لإرساله‏ ‏مليارات‏ ‏من‏ ‏الرسائل‏ ‏الإلكترونية‏, ‏وقد‏ ‏قدر‏ ‏الخبراء‏ ‏الزيادة‏ ‏في‏ ‏الحركة‏ ‏علي‏ ‏الشبكة‏ ‏بما‏ ‏يتراوح‏ ‏بين‏ 20 ‏و‏ 40% ‏إلا‏ ‏أن‏ ‏فيروس‏ ‏زاتوب‏ ‏لم‏ ‏يحدث‏ ‏مثل‏ ‏هذا‏ ‏التأثير‏. ‏فور‏ ‏إصابة‏ ‏الفيروس‏ ‏للحاسب‏ ‏يقوم‏ ‏بوضع‏ ‏ملف‏ ‏باسم‏wintbp.exe ‏داخل‏ ‏المجلد‏ ‏الفرعي‏System ‏بمجلد‏ ‏نظام‏ ‏النوافذ‏ ‏الرئيسي‏, ‏إذا‏ ‏وجد‏ ‏هذا‏ ‏الملف‏ ‏بحاسبك‏ ‏فمعني‏ ‏ذلك‏ ‏أن‏ ‏الحاسب‏ ‏مصاب‏ ‏بهذا‏ ‏الفيروس‏ ‏الخطير‏, ‏كما‏ ‏يقوم‏ ‏الفيروس‏ ‏بتعديل‏ ‏ملفات‏ ‏نظام‏ ‏النوافذ‏ Registry Files ‏لكي‏ ‏يتم‏ ‏تشغيل‏ ‏الفيروس‏ ‏في‏ ‏كل‏ ‏مرة‏ ‏نقوم‏ ‏فيها‏ ‏بتشغيل‏ ‏الحاسب‏. ‏يقوم‏ ‏الفيروس‏ ‏بفتح‏ ‏منفذ‏ TCP/IP Port ‏علي‏ ‏الحاسب‏ ‏المصاب‏, ‏ثم‏ ‏يقوم‏ ‏بتكوين‏ ‏عنوان‏ ‏رقمي‏ ‏للإنترنت‏ IP Address ‏بشكل‏ ‏عشوائي‏, ‏ويرسل‏ ‏نسخة‏ ‏للإنترنت‏ ‏إلي‏ ‏هذا‏ ‏العنوان‏, ‏ليس‏ ‏من‏ ‏الصعب‏ ‏تخمين‏ ‏عناوين‏ ‏رقمية‏ ‏للإنترنت‏ ‏للحاسبات‏ ‏الشخصية‏ ‏أو‏ ‏الحاسبات‏ ‏الخادمة‏.‏ الأثر‏ ‏التخريبي‏ ‏للفيروس‏: ‏ عند‏ ‏إصابة‏ ‏الحاسب‏ ‏بالفيروس‏ ‏سوف‏ ‏تظهر‏ ‏للمستخدم‏ ‏رسالة‏ ‏علي‏ ‏الشاشة‏ ‏ثم‏ ‏يقوم‏ ‏الفيروس‏ ‏أوتوماتيكيا‏ ‏بإعادة‏ ‏تشغيل‏ ‏الحاسب‏ Reboot ‏دون‏ ‏أن‏ ‏يترك‏ ‏فرصة‏ ‏للمستخدم‏ ‏لتخزين‏ ‏العمل‏ ‏الذي‏ ‏يقوم‏ ‏به‏.‏