الخبراء يحذرون من دودة تاناتوس

تسرق بيانات البطاقات الائتمانية وكلمات المرور

حذّر خبراء مكافحة الفيروسات من دودة تاناتوس التي تواصل انتشارها عبر البريد الالكتروني وشبكات الكومبيوتر منذ الثلاثاء الماضي وتقوم بفتح اجهزة الكومبيوتر أمام القراصنة بالاضافة الى سرقة ارقام وبيانات البطاقات الائتمانية المخزنة على اجهزة الضحايا وكلمات المرور الخاصة بهم وهو ما تسبب في اثارة حالة من القلق بين مستخدمي شبكة الانترنت في مختلف انحاء العالم خاصة بعد الانباء التي وصفت الدودة بأنها اخطر من فيروس كليز الذي ظهر قبل عدة اشهر ولم تتمكن اجهزة رصد الفيروسات من تتبعه الا بصعوبة شديدة وقال خبراء مكافحة الفيروسات ان خطورة دودة تاناتوس (Tanatos) تكمن في قدرتها على المراوغة والخداع من خلال تغيير عناوين الرسائل التي تحملها بالإضافة الى انها تستطيع تعطيل برامج مكافحة الفيروسات وبرامج الجدران النارية التي تعمل على الاجهزة المصابة وتقوم بحذف ملفاتها او التخفي بداخلها وتحمل الدودة عدة اسماء وفقا لمسميات شركات مكافحة الفيروسات ومن بين هذه الاسماء تاناتوس وبق بير(Bugbear) وهي تستهدف جميع اجهزة الكومبيوتر التي تعمل بأنظمة تشغيل ويندوز بمختلف اصداراتها، اما مستخدمو انظمة ماكنتوش ولينوكس ويونكس فهم في مأمن من خطورتها وقد احتلت بريطانيا قائمة الدول التي سجلت اعلى معدلات اصابة بهذه الدودة بنسبة 55 ،66% وتلتها استراليا في المركز الثاني بنسبة 18 ،91% ثم نيوزيلاندا في المركز الثالث بنسبة 12 ،58% وجاءت الهند في المركز الرابع بنسبة 3 ،35% وفي المركز الخامس جاءت سنغافورة بنسبة 2 ،60% ثم ماليزيا في المركز السادس بنسبة 1 ،92% واحتلت هولندا المركز السابع وبلغت نسبة الاصابة فيها 1 ،74% وجاءت كينيا ثامنا بنسبة 1 ،21% بينما احتلت فرنسا المركز التاسع بنسبة اصابة 1 ،10% ثم فيتنام في المركز العاشر بنسبة 0 ،90% وتصل الدودة من خلال رسالة بريد الكتروني تحمل عنوانا عشوائيا يتغير من جهاز إلى آخر ومن بين هذه العناوين (هالو - تحية - هدية - هاي - شحن مجاني- اعلان - اخبار - اخبار سيئة - تحذير - مطلوب راعي- فانتاستيك - واو - محتويات جديدة - نرجو المساعدة - اضغط هنا - تأكيد العضوية - منوعات - مجرد تذكير- ترقية - تصحيح خطا - تنبية - تقرير - قراءة جديدة - ازالة - سبام - بوست ماستر) وغيرها من العناوين المشابهة التي تعتمد على اثارة اهتمام الضحية ودفعه الى فتح الملف المرفق وعند ذلك تنشط الدودة وتقوم بنسخ نفسها في مجلدات نظام التشغيل تحت مسميات مختلفة بحيث يصعب على المستخدم ازالتها وحذف ملفاتها وقال الخبراء ان الملف التنفيذي لهذه الدودة يتغير من جهاز الى آخر بشكل عشوائي ايضا حيث تقوم الدودة بانتقاء اسماء جديدة لهذا الملف من خلال اسماءالملفات الموجودة على الجهاز المصاب كما ان هذا الملف يحمل اكثر من امتدادمن بينها txt وdiz وini وscr وexe وhtm وhtml وbat وccp وreg وjpeg وgif وh وc وimage/gif وimage/jpegوtext/ html وpif وتقوم الدودة بتسجيل مفتاح خاص بها في مجلد الريجستري حتى تتمكن من العمل بشكل تلقائي في كل مرة يتم فيها تشغيل جهاز الكومبيوتر المصاب وتقوم الدودة ايضا بنسخ ملفاتها في مجلد ملفات(DLL) داخل نظام التشغيل- وباسماء عشوائية ايضا- حتى تتمكن من السيطرة تماما على جهاز المصاب وبعد ذلك تقوم بفحص برامج البريد الالكتروني الموجودة على جهاز الكومبيوتر بحثا عن اي عناوين بريد الكتروني مسجلة فيها لتقوم بإرسال نفسها تلقائيا الى اصحاب هذه العناوين وبعد اتمام هذه المهمة تقوم الدودة بفحص منافذ الاتصال في الجهاز الكومبيوتر للتأكد مما اذا كان هذا الجهاز مرتبطا بشبكات كومبيوتر اخرى ام لا وفي حالة وجود شبكات مرتبطة بهذا الجهاز تقوم الدودة بنسخ نفسها على جميع الاجهزة المتصلة بالجهاز المصاب.
وقال خبراء شركة ماسيج لاب البريطانية ان الدودة تحتوي على برنامج تروجان يحمل اسم (Pws-Hooker) تقوم بتنصيبه على الجهاز المصاب فور تمكنها من السيطرة على نظام التشغيل ويتولى هذا البرنامج مهمة تسجيل اي نقرة يقوم بها المستخدم على لوحة المفاتيح ثم يخزنها في ملف مشفر يحمل اسم كي لوجنج (key logging) يتم ارساله الى مصمم الفيروس عبر عناوين البريد الالكتروني الخاصة به والموجودة في الشفرة الاصلية للفيروس ويقوم برنامج التروجان ايضا بفحص منافذ الاتصال على الجهاز المصاب بحثا عن المنفذ رقم 36794 وعندما يعثر عليه يقوم بفتحة امام اي قرصان او متطفل بحيث يصبح من السهل اختراق جهاز الكومبيوتر وسرقة البيانات والملفات المهمة المخزنة فيه وبالإضافة الى ذلك تقوم الدودة بتصميم صفحة بلغة اتش تي ام تحمل اسم (on- the-fly) يمكن للقرصان من خلالها التحكم من بعد في الجهاز المصاب واستعراض جميع المجلدات والادلة والملفات الموجودة فيه المصابة ويتيح هذا التروجان للقراصنة امكانية الحصول على جميع المعلومات الخاصة بالجهاز المصاب مثل نوع نظام التشغيل ونوع المعالج وحجم ذاكرة التشغيل بالاضافة الى امكانية الحصول على المعلومات الخاصة بشبكات الكومبيوتر التي يرتبط بها الجهاز المصاب.
وقال جراهام كلوي رئيسش فريق الطوارئ في شركة سوفوس البريطانية لمكافحة الفيروسات انه تم تسجيل اكثر من 7 آلاف اصابة بهذه الدودة في بريطانيا وحدها خلال اليوم الاول لظهور هذه الدودة، مشيرا الى ان الشركة تلقت مئات البلاغات من مستخدمي برامجها في عدة دول اوربية منها ايطاليا وفرنسا والنمسا والمانيا لكن لا توجد احصائية رسمية بعدد الاصابات في هذه الدول وحذر كلوي من ان هذه الدودة تشكل خطورة كبيرة على شبكات الكومبيوتر ومن الصعب التخلص منها الا من خلال حذف جميع ملفاتها الموجودة على جميع الاجهزة المرتبطة بالشبكة في آن واحد لأن وجود ملفات الدودة في اي جهاز يتيح لها اصابة جميع الاجهزة مرة اخرى ونصح كلوي مديري شبكات الكومبيوتر بضرورة تغيير كلمات المرور الخاصة بالدخول على جميع الاجهزة والشبكات بعد التخلص من الدودة بالاضافة الى فحص جميع انظمة التشغيل بحثا عن اي برنامج تروجان جديد يمكن ان يكون قد تسلل عبر الباب الخلفي الذي صنعته هذه الدودة.