الاسم التقني:Cuebot-L

اسماء أخرى:

W23/Cuebot-L

Backdoor.Win23.IRCBot.st

WORM_IRCBOT.JL

CME-284

النوع: دودة

درجة الخطورة: عالية

سرعة الانتقال: متوسطة

مستوى التهديد العام: مرتفع

الأنظمة المعرضة للإصابة: جميع أنظمة ويندوز 32 بت

الأنظمة المستثناة: أنظمة ماك - أنظمة يونكس - أنظمة لينكس.

الانتشار وأسلوب الإصابة:

من يتتبع سلوك الديدان سيجد أن أغلبها تصنع لاستغلال ثغرات في نظام ويندوز أو البرامج التي تنتجها مايكروسوفت والتي تعلن عنها في موقعها، كما هو الحال مع هذه الدودة التي استغلت الثغرة المرموز لها بالاسم MS60-040 والتي أعلن عن اكتشافها قبل ظهور هذه الدودة بأيام قلائل، ووضحت مايكروسوفت بأن هذه الثغرة تسمح للأشرار بالتحكم من خلال شفرات تعمل من بعد. والمشكلة الحقيقية أن مايكروسوفت لا تستطيع أن تخفي هذه الثغرات وبالتالي تعلن عنها وتضع الرقع المناسبة، والمبرمجون الأشرار يستغلون هذا الإعلان من أجل كتابة شفرات لبرامج خبيثة تتسلل عبر هذه الثغرات، والضحية في النهاية ممن لا يتابعون هذه التحديثات أو يوقفونها أو توقف عنهم قسراً لاستخدامهم نسخاً غير نظامية وهو الإجراء الذي نجحت فيه مايكروسوفت أخيراً.

وهذه الدودة تنتقل من خلال برامج المحادثة الفورية Instant Messengers ومن أهم البرامج التي تستغلها برامج AOL و IRC. كما أن من بين وسائل انتقالها التسلل عبر الشبكة والمنصات التي توفر تبادل ومشاركة الملفات. ولم تشر التقارير التي اطلعت عليها إلى أن هذه الدودة تنتقل عبر البريد الإلكتروني، ولكن ليس هناك ما يؤكد على نفي ذلك.

وتعمل الدودة في أول نشاط لها إلى نسخ نفسها إلى مجلد النظام (System) تحت مسمى wgareg.exe

عملها:

هذه الدودة تقوم بعدة مهام جميعا تضر بالمستخدم وهي:

٭ السماح للآخرين بالوصول والتحكم بجهاز الضحية .

٭ إضافة نفسها بملف سجل النظام.

٭ جعل الجهاز عرضة للاختراق.

طرق الوقاية:

هناك العديد من وسائل الوقاية التي نوصي باتباعها في أكثر من مناسبة ومنها:

٭ الحصول على تراخيص نظامية تسمح للمستخدم بالتحديث. مع الحرص على تحميل الرقعة الأخيرة للثغرة المسماة MS60-040 من خلال الوصلة التالية:

microsoft.com/technet/security/bulletin/MS60-040.mspx

٭ المداومة على تحديثات نظام التشغيل وبقية البرامج التي تنتجها مايكروسوفت.

٭ استخدام برنامج حماية موثوق بقوتها وتتوفر فيها عناصر الحماية الأساسية والتي من أهمها التحديث الآلي، والحماية الآنية، ومراقبة البريد.

٭ إجراء فحص شامل للجهاز ضد الفيروسات باستمرار.

العلاج:

إذا ساورتك الشكوك بأن جهازك قد يكون أصيب بهذه الدودة فبإمكانك إجراء بحث داخل مجلد النظام (System) والبحث عن الملف wgareg.exe أو بإجراء فحص كامل للجهاز باستخدام الخدمات المجانية المباشرة التي تقدمها بعض مواقع الحماية المشهورة مثل خدمة WebScan التي تقدمها شركة كاسبر سكاي من خلال الموقع التالي:

kaspersky.com/virusscanner

أو أي شركة أخرى تعمل في هذا المجال، علماً بأنه يمكن فحص الجهاز باستخدام الحماية الذي تستخدمه مثل كاسبر سكاي الذي يمكن الحصول على نسخة منه من خلال موقعه على الإنترنت kaspersky.com، أو AVG الذي يمكن الحصول على نسخة منزلية مجانية منه من خلال موقعه على الإنترنت free.grisoft.com، أو برنامج AntiVir والذي يمكن الحصول على النسخة المنزلية المجانية منه من خلال موقعه على الإنترنت free-av.com وهو قوي جداً.