GOLDEN_#1®
كبار الشخصيات
بتذكر اني كتبت هاد الموضوع امبارح بالمنتدى , بس ماليته , معقول كون كتبته و ماكبست ( اضافة موضع ) ؟؟ ما بعرف المهم , اليكم التقرير
----------------------------------
دودة Mocbot تعود بعد تحديثات 8 آب و ms06040 .
لمحة سريعة لأخر 30 يوم :
تمر شركة Microsoft باحد اسوء كوابيسها في مجال أمن المعلومات ,حيث بدأت المشاكل منذ أخر 30 يوم مع ثغرات Zero-Day التي أصابت مجموعة Office في Word و Exel و PowerPoint ,و من ثم جاء مؤتمر BlackHat ليكشف عن مجموعة ثغرات في نظام Vista الذي قالت مايكروسوفت عنه بأن نظام VISTA سيكون النظام الأكثر أماناً في العالم .
وأخرها كان منذ بضعة ايام حين أطلقت مايكروسوفت 23 تحديث أمني منذ خمسة ايام ,
فأعلنت HomeLand Secuirty الاميركية في 10 آب أن التحديث الي اصدرت مايكروسوفت غير كافي و أن ثغرة امنية بدرجة ( عالي الخطورة ) ايضا موجودة بالنظام و أن على المستخدمين تحميل الرقعة الموجودة في الوصلة التالية :http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx
لسد ثغرة remote procedure call - RPC.
و الآن , تعود المشاكل بوقوة أكبر مع دودة Mocbot التي عادت لتظهر من جديد
العودة :
أصابت الدودة خلال اليومين الماضيين ( 12 و 13 آب ) اكثر من 133000 جهاز كمبيوتر ,
الدودة بالشكل الجديد تستغل برامج الـ Bots الخاصة بخدمة المحادثة الشهيرة IRC عبر IRC-controlled Service مسببة بذلك تشغيل عدة اسطر برمجية في جهاز الضحية و تمكينه من التحكم بالبيانات المرسلة و المستلمة ما يعني أن كافة المعلومات الشخصية أصبحت في متناول المخترق .
التفاصيل :
الدودة الجديدة لا زالت تحمل الاسم wgareg.exe
حجم الملف التنفيذي : 9,609 بايت , أي 9 كيلو بايت فقط .
تشفير MD5 sum هو : 9928a1e6601cf00d0b7826d13fb556f0
و الـ SHA1 هو : 352a276346eabde7bfce9efee732a973e0d26baa
الـ Packing من خلال : MEW
تقوم الدودة بتشغيل حساب على الانظمة المبنية ببنية NT أي XP/2003/2000/NT و تقوم بانشاء خدمة جديدة تحت اسم Windows Genuine Advantage Registration Service وتبداء تشغيلها عند كل اقلاع جديد للنظام .
ظهرت الدودة اول مرة أخر عام 2005 باسم Mocbot , حيث أصاب الاجهزة من خلال التحديث الامني MS05-039 PNP .
و ظهرت منذ شهر و نصف عبر برنامج المحادثة AOL تحت اسم Cuebot-K .
الدودة عادت مستخدمة ثغرة امنية موجودة في التحديث الأمني الذي اطلق بتاريخ 8 آب تحت اسم ms06-040 و مستخدمة ايضا كما فعلت سابقا الىلية ذاتها عبر خدمة المحادثة IRC .
و في استطلاعنا في شبكة الجولدن التقنية تبين ان السيرفرات المستخدمة ايضا في الصين , رغم كل الخطوات التي تتخدذها الحكومة الصينية لمنع تشغيل سيرفرات غير مراقبة من قبل المخدمات الحكومية .
وقد حصلنا في شبكة الجولدنالتقنية على تقرير AntiVir الذي صدر منذ ساعات و الواضح في التقرير أن حوالي الثلث فقط من الشركات التي تم ارسال الملف لها استطاعت التعرف عليه أو على أحد خصائصه , و كما هو مبين في الصورة فإن الشركات الكبيرة مثل Microsoft و Symantec و McAfee لم تستطع التعرف عليه
في التفصيل البرمجي الخاص بالدودة تبين أن السيرفرين الموجودين في عمق الاسطر البرمجية يؤديان إلى كل من :
bniu.househot.com
ypgw.wallloan.com
عناوين الـ IP المكتشفة حتى الان و الدالة عليهما هي :
58.81.137.157
61.163.231.115
61.189.243.240
202.121.199.200
211.154.135.30
218.61.146.86
المعلومات الصادرة عم جهاز الحضية يتم استقبلها و ررسالها عبر 445/TCP
( طبعا لا بد من وجود غيرها ) .
و بانتظار حديث أمني جديد من Microsoft .. نرجوا أن لا يطول .
الجولدن
----------------------------------
دودة Mocbot تعود بعد تحديثات 8 آب و ms06040 .
لمحة سريعة لأخر 30 يوم :
تمر شركة Microsoft باحد اسوء كوابيسها في مجال أمن المعلومات ,حيث بدأت المشاكل منذ أخر 30 يوم مع ثغرات Zero-Day التي أصابت مجموعة Office في Word و Exel و PowerPoint ,و من ثم جاء مؤتمر BlackHat ليكشف عن مجموعة ثغرات في نظام Vista الذي قالت مايكروسوفت عنه بأن نظام VISTA سيكون النظام الأكثر أماناً في العالم .
وأخرها كان منذ بضعة ايام حين أطلقت مايكروسوفت 23 تحديث أمني منذ خمسة ايام ,
فأعلنت HomeLand Secuirty الاميركية في 10 آب أن التحديث الي اصدرت مايكروسوفت غير كافي و أن ثغرة امنية بدرجة ( عالي الخطورة ) ايضا موجودة بالنظام و أن على المستخدمين تحميل الرقعة الموجودة في الوصلة التالية :http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx
لسد ثغرة remote procedure call - RPC.
و الآن , تعود المشاكل بوقوة أكبر مع دودة Mocbot التي عادت لتظهر من جديد
العودة :
أصابت الدودة خلال اليومين الماضيين ( 12 و 13 آب ) اكثر من 133000 جهاز كمبيوتر ,
الدودة بالشكل الجديد تستغل برامج الـ Bots الخاصة بخدمة المحادثة الشهيرة IRC عبر IRC-controlled Service مسببة بذلك تشغيل عدة اسطر برمجية في جهاز الضحية و تمكينه من التحكم بالبيانات المرسلة و المستلمة ما يعني أن كافة المعلومات الشخصية أصبحت في متناول المخترق .
التفاصيل :
الدودة الجديدة لا زالت تحمل الاسم wgareg.exe
حجم الملف التنفيذي : 9,609 بايت , أي 9 كيلو بايت فقط .
تشفير MD5 sum هو : 9928a1e6601cf00d0b7826d13fb556f0
و الـ SHA1 هو : 352a276346eabde7bfce9efee732a973e0d26baa
الـ Packing من خلال : MEW
تقوم الدودة بتشغيل حساب على الانظمة المبنية ببنية NT أي XP/2003/2000/NT و تقوم بانشاء خدمة جديدة تحت اسم Windows Genuine Advantage Registration Service وتبداء تشغيلها عند كل اقلاع جديد للنظام .
ظهرت الدودة اول مرة أخر عام 2005 باسم Mocbot , حيث أصاب الاجهزة من خلال التحديث الامني MS05-039 PNP .
و ظهرت منذ شهر و نصف عبر برنامج المحادثة AOL تحت اسم Cuebot-K .
الدودة عادت مستخدمة ثغرة امنية موجودة في التحديث الأمني الذي اطلق بتاريخ 8 آب تحت اسم ms06-040 و مستخدمة ايضا كما فعلت سابقا الىلية ذاتها عبر خدمة المحادثة IRC .
و في استطلاعنا في شبكة الجولدن التقنية تبين ان السيرفرات المستخدمة ايضا في الصين , رغم كل الخطوات التي تتخدذها الحكومة الصينية لمنع تشغيل سيرفرات غير مراقبة من قبل المخدمات الحكومية .
وقد حصلنا في شبكة الجولدنالتقنية على تقرير AntiVir الذي صدر منذ ساعات و الواضح في التقرير أن حوالي الثلث فقط من الشركات التي تم ارسال الملف لها استطاعت التعرف عليه أو على أحد خصائصه , و كما هو مبين في الصورة فإن الشركات الكبيرة مثل Microsoft و Symantec و McAfee لم تستطع التعرف عليه
في التفصيل البرمجي الخاص بالدودة تبين أن السيرفرين الموجودين في عمق الاسطر البرمجية يؤديان إلى كل من :
bniu.househot.com
ypgw.wallloan.com
عناوين الـ IP المكتشفة حتى الان و الدالة عليهما هي :
58.81.137.157
61.163.231.115
61.189.243.240
202.121.199.200
211.154.135.30
218.61.146.86
المعلومات الصادرة عم جهاز الحضية يتم استقبلها و ررسالها عبر 445/TCP
( طبعا لا بد من وجود غيرها ) .
و بانتظار حديث أمني جديد من Microsoft .. نرجوا أن لا يطول .
الجولدن
