«الجزيرة » تنشر الطريقة الكاملة لعمل الرمز الأحمر 2 الخطر الجديد على النت

الخسائر بالمليارات

يواصل أخطر تهديد عرفته الإنترنت في تاريخها زحفه على الشبكة العالمية ولكن هذه المرة بتقنيات وطرق أحدث من السابقة وذلك بعد ظهور الجيل الجديد المحسن منه.
الرمز الأحمر 2 المعروف Code Red 2 عاد أكثر شراسة من سابقه والذي نشر ذعرا من أنه سيتسبب في تعطل الإنترنت نهاية الأسبوع قبل الماضي فالجيل الجديد يقوم بفتح منفذ خلفي على الأجهزة المصابة يسمح للهاكرز من الدخول خلاله لذلك النظام والعبث وسرقة محتوياته والتي قد تكون حساسة جداً خاصة إذا كان من بينها معلومات مالية مثل بطاقات الائتمان أو خلافه.
ولهذا السبب قامت «الجزيرة» بجمع أكبر قدر من المعلومات عن الجيل الجديد من الرمز الأحمر يوضح لما أصبح تهديده أكبر من سابقه.
مرحلة الإصابة
النوع القديم من هذه الدودة كان يقوم بإسقاط النظام المخترق فقط ليضع شعارابأن الصينيين قاموا باختراقه ولكن النوع الجديد منه والذي أعلنت جماعة هولندية مسئوليتها عنه يذهب أبعد من ذلك.
الرمز الأحمر 2 يصيب الأجهزة والخوادم بنفس الطريقة التي استخدمها القديم وهي تلك الأجهزة التي تعمل على ويندوز 2000 وتحتوي على ثغرة ida وبعد إصابته لجهاز ما فإنه يطلق على نفسه XXXXXX بدلا من NNNNN والتي كان يستخدمها القديم في التسجيل Log الخاص بالخادم الشبكي المصاب أما في ويندوز NT فإنه يتسبب في توقف الجهاز عن العمل وسقوطه أو ما يسمى ب Crash Down.
وبعد تثبيت نفسه في النظام المصاب يقوم الرمز الأحمر 2 بفحص الجهاز لمعرفةالرقم الشبكيIP Address للجهاز وكذلك نوع اللغة المستخدمة عليه وهل هي صينية أو غير ذلك ومن ثم يقوم بفحص الجهاز للتأكد من أنها لم تصب الجهاز من قبل فإذا كانت هذه الإصابة الثانية فإنه ينتقل للمرحلة الثانية وهي الانتشار.
إذا لم يكن الجهاز أصيب من قبل فإن الدودة تقوم بتثبيت وظيفة جديدة يطلق عليها اسم Atom والتي تمنع الإصابة مرة أخرى لنفس الجهاز ومن ثم تقوم بتجهيز عدد الثردز المستخدمة في مسح الشبكة فإذا كانت اللغة صينية فإنها تضع 300 threads وتقوم بمسح الإنترنت لمدة 24 ساعة فقط أما إذا كانت اللغة غير فإنها تضع 600 threads لتقوم بالمسح لمدة 48 ساعة وكل ثرد منها تشكل حقيقة خطر إصابة لخادم جديد وبعد الانتهاء من عملية المسح تقوم الدودة بتثبيت الباب الخلفي Trojan الخاص بها وسيتم شرحه لاحقا بالتفصيل.
الآن تقوم الدودة بالنوم لمدة يوم كامل )24 ساعة( إذا كان النظام صينيا أو يومين 48 ساعة إذا كان النظام ليس صينيا وبعد انتهاء فترة النوم تقوم بإعادة تشغيل الخادم المصاب Reboot فقط.
الانتشار على النت
لتفادي عملية المسح لنفس النظام المصاب فإن الدودة تقوم بحفظ الرقم الشبكي IP Address للخادم المصاب الحالي ومن ثم تعود لسبات لمدة 6400 ثانية لتقوم بعدها بالتأكد من أن التاريخ قبل 2002م وكذلك قبل شهر 10 وإن كان خلاف ذلك فإنه تقوم بإعادة تشغيل الجهاز وضبط التاريخ الخاص بالنظام قبل هذه التواريخ والسبب أن الدودة مبرمجة على العمل قبل 1-10 .
هنا تبدأ الدودة في بدء عملية الانتشار عن طريق استخدام ما يعرف بالسوكيت Socket وتجعلها غير قابلة للتعطل أو التوقف خاصة عند ارتباطها مع اتصال بطيء وبعد ذلك تقوم بالاتصال بالهدف الجديد فإذا لاقت تجاوبا فإنها تقوم مباشرة بقفل الاتصال لتمنع انقطاعه ومن ثم تقوم بنقل نسخة منها للنظام الجديد لتعاود نفس الخطوات من جديد.طبعا هذه الخطوات تتم مع كل رقم شبكي يتم مسحه وإذا لم تجد الدودة تجاوبا فإنها تغلق الاتصال مع الرقم وتعاود الكرة من جديد مع رقم آخر وهكذا تواصل الدودة انتشارها على أكبر قدر ممكن من الخوادم الشبكية المرتبطة بالإنترنت.
تثبيت الباب الخلفي Trojan
تقوم الدودة بالتعرف على المجلد الخاص بالنظام )مثل c:\winnt\system32( ومن ثم تقوم بربط ملف cmd لهذا المجلد وبعدها تقوم بضبط الحرف الخاص بجزءالقرص الصلب المستخدم من قبل ملفات النظام وعلى سبيل المثال C: أو D: وتقوم بنسخ نسخة من ملف cmd.exe إلى المجلد الواقع في /scts/root.exe وكذلك نسخة إلى /msadc/root.exe لتقوم بعدها بتحديد منطقة لملف explorer.exe ومن ثم إنشاء ملف explorer.exe في كل جزء من القرص أي c: و d: على فرض أن النظام يحتوي على هذين الجزءين فقط.
تقوم الدودة الآن بكتابة الجزء الخاص بها في ملف explorer.exe والمتواجد على القرشص الصلب مباشرة وهذا الملف يستخدمه النظام كل ما قام أحد المستخدمين بتشغيله مما يعني أن الباب الخلفي سيتم تشغيله بشكل تلقائي كل ما يقوم أحد المستخدمين بتشغيل النظام وبعد الانتهاء من الكتابة تقوم الدودة بإغلاق الملف explorer.exe ومن ثم تنتقل للجزء التالي من القرص الصلب )d:( لتقوم بإعادة نفس الخطوات أيضا لتكوين نسخة احتياطية منها.
طريقة عمل الباب الخلفي
عند تشغيل النظام فإن الباب الخلفي يعمل تلقائيا كما ذكر سابقا من خلال ملف explorer.exe والذي يقوم من خلاله الباب الخلفي بوضع اختصارات مثل /c وتكون مرتبطة بالجزء c: وكذلك /d مرتبطة بالقرص d: والتي أراد منها مبرمج الدودة أن ستمر عمل الباب الخلفي على النظام حتى ولو قام المستخدم بإلغاء ملف root.exe والمسؤول عن الباب الخلفي.
يقوم الهاكر المهاجم باستخدام الاختصارات السابقة للاتصال بالنظام المصاب ليتمكن من خلالها الدخول لذلك النظام والحصول على سيطرة كاملة عليه وسيستخدم الهاكر في عمليته الرابط التالي للوصول إلى ذلك النظام:
http://IP.Address/c/inetp*b/scripts/root.exe?/ c+dirفي حالة وجود ملف root.exe أما في حالة عدم وجود هذا الملف فإنه يقوم باستخدام الرابط التالي:
http://IpAddress/c/winnt/system32/cmd.exe?/ c+dir
وفي كلتا الحالتين فإن أمر dir هو الأمر الذي سيستخدمه المهاجم على ذلك النظام وبالطبع ما دام ملف explorer.exe يعمل تحت النظام فإن المهاجم يستطيع الدخول للنظام في أي وقت يريد.
الحلول الحالية
لتجنب الإصابة بهذه الدودة يتوجب على أصحاب الأنظمة المعرضة للخطر وفي هذه الحالة هي ويندوز 2000 والتي تحمل خادماً شبكياً من نوع IIS الحصول على الإصلاح الموفر من قبل شركة مايكروسوفت المنتجة للنظام ويمكن الحصول عليه من خلال موقع الشركة على الرابط التالي:
http://www.microsoft.com/technet/treeview/ defa*lt.asp?*rl=/technet/sec*rity/b*lletin/ MS01-033.asp
مستقبل الدودة
يتوقع أن يستمر تطوير الدودة في الأيام القادمة والتي ستشهد انطلاق أنواع أخطر منها قد تتسبب في ظهور العديد من المشكلات خاصة وأن الكود الخاص بالحالية أصبح متوفرا على الإنترنت مما يجعل الكثيرين يتوجهون لتطوير نسخ خاصة بهم قد تحتوي على ثغرات إضافية غير الحالية.
وإذا ما تمكنوا من ذلك فإن الفترة المقبلة ستشهد خسائر كبيرة تتعدى منطق الخسارة المالية التي يتحدث عنها الإعلام العالمي تلك الخسائر قد تشمل خسائر حكومية كالمستندات والمعلومات الحكومية وكذلك خسائر تجارية ككشف خطط بعض الشركات وأيضا خسائر شخصية لأولئك أصحاب المواقع الشخصية وفي هذه الأثناء الكل يحاول التسابق مع الزمن لإيجاد حل جذري فعال ضد مثل هذا النوع من الأخطار والأيام القادمة كفيلة بكشف ما يخفيه القدر للإنترنت التي أصبحت ملجأ للكثير من الشركات والحكومات.