الرئيسية
اليومية
المنشورات
س .و .ج
بحـث
أحدث الصور
الأعضاء
المجموعات
التسجيل
دخول
محمد الحمودمدير المنتدى- الجنس :
عدد المشاركات : 1471
تاريخ الميلاد : 08/02/1994
تاريخ التسجيل : 10/01/2014
العمر : 30
الدولة : الأردن-Jordan 
فيروس Gauss الخبيث، ما هو وكيف يمكن إزالته؟
2/3/2014, 00:13
مرحبا بكم,
أقدم لكم بعض المعلومات التي نعرفها عن فيروس –Gauss، بالإضافة إلى بعض الأدوات لإزالته.
فيروس –Gauss.
لقد تم اكتشاف هذا الفيروس من قبل شركة كاسبر سكاي في يونيو الماضي، وهو فيروس خطير ومعقد تم تمويله من قبل دولة ما كما تقول الشركة.
وهذا الفيروس ليس الأول الذي يتم اكتشافه لكنه الأخطر كونه يستهدف بيانات المستخدمين الأساسية وبيانات المصارف.
في اعتقادي أن هذه الفيروسات بالغة التعقيد هي بداية لحرب إلكترونية غير معلنة بين أطراف متصارعة في العالم، فقد وجدوا في هذه الطريقة ضالتهم كونها غير مكلفة، ولا تستدعي إرسال الجيوش.
هذه الفيروسات التي تم اكتشافها مؤخرا تستهدف البلدان في الشرق الأوسط، وهي بلدان لا تمتلك القدرات التقنية، وليس لديها مراكز بحوث كبرى تستطيع اكتشاف هذه الفيروسات المعقدة.
وحسب ما تقول كاسبر سكاي إن الفيروس به بعض الشفرات الخفية التي لم يتم معرفة الهدف منها حتى الآن وهي تدعوا المتطوعين للمساهمة في ذلك.
وإليكم النشرة الكاملة التي أصدرتها كاسبر سكاي حول اكتشاف الفيروس:
كاسبرسكي لاب والاتحاد الدولي للاتصالات يكتشفان تهديدا الكترونيا جديدا يراقب الحسابات البنكية في الانترنت –Gauss
تعلن شركة كاسبرسكي لاب عن اكتشاف Gauss، التهديد الالكتروني الجديد الذي يستهدف المستخدمين في الشرق الأوسط. وGauss عبارة عن مجموعة أدوات تجسسية معقدة ممولة من قبل دولة ما، صممت لسرقة البيانات الحساسة مع التركيز على كلمات المرور، بيانات الحساب البنكي في الانترنت، ملفات تعريف الارتباط والإعدادات الخاصة للآلات المصابة.
تعاونت كاسبرسكي لاب مع سيكيولرت لمراقبة خوادم القيادة والتحكم الخاصة بحملة "مادي". وقد كشفت الشركتان عن أكثر من 800 ضحية في ايران واسرائيل وبلدان محددة في جميع أنحاء العالم المتصلين بخوادم التحكم والقيادة على مدى الأشهر الثمانية الماضية. وكشفت الاحصاءات المتوفرة من عملية المراقبة أن الضحايا شملوا في المقام الأول رجال الأعمال الذين يديرون مشاريع البنية التحتية الحيوية في إيران وإسرائيل، فضلاً عن المؤسسات المالية الإسرائيلية، وطلاب الهندسة في الشرق الأوسط، وجهات حكومية مختلفة في الشرق الأوسط.
وتعد وظيفة الصيرفة الالكترونية في حصان طروادة لـGauss خاصية فريدة لم يعثر عليها في الأسلحة الالكترونية السابقة.
وقد عثر على Gauss خلال التحريات التي بادر بها الاتحاد الدولي للاتصالات، عقب اكتشاف Flame، بهدف التقليل من المخاطر التي تشكلها الأسلحة الالكترونية وهي المكون الرئيسي في إحلال السلام الالكتروني في العالم.
ويتخذ الاتحاد الدولي للاتصالات بدعم خبراء كاسبرسكي لاب، خطوات هامة لتعزيز الأمن الالكتروني في العالم من خلال التعاون مع جميع المستثمرين ذوي العلاقة كالحكومات، القطاع الخاص، المنظمات الدولية والمجتمع المدني إضافة إلى الشركاء الرئيسيين في إطار مبادرة ITU-IMPACT.
وقد اكتشف خبراء كاسبرسكي لاب Gauss من خلال تشخيص المعالم المشتركة التي يتقاسمها البرنامج الخبيث مع Flame، ومن بينها المنصات الهندسية الشبيهة، هيكلية البنى، قواعد الشيفرة وسبل الاتصال مع خوادم الأوامر والمراقبة C&C.
حقائق مختصرة:
•تشير نتائج البحث أن Gauss باشر بشن هجماته خلال شهر سبتمبر 2011.
•اكتشف لأول مرة في يونيو 2012 بفضل المعلومات التي تم الحصول عليها بعد التحليل والبحث المعمقين لبرمجيات Flame الخبيثة.
•اكتشافه أصبح ممكنا بفضل التشابه بينه وبين Flame.
•جرى تعطيل عمل البنى التحتية لخوادم C&C الخاصة بـGauss في يوليو 2012 بعد اكتشافه. حاليا يتواجد Gauss في حالة سكون وينتظر لحظة بدء عمل خوادم C&C.
•ابتداء من أواخر مايو 2012، أكثر من 2500 إصابة سجلت من قبل النظام الأمني المعتمد على الحوسبة السحابية من كاسبرسكي لاب، حيث من المتوقع أن ضحايا Gauss يحصون بعشرات الآلاف. وهذا المؤشر أدنى مقارنة بضحايا Stuxnet لكنه أعلى بكثير من عدد هجمات Flame وDuqu.
•Gauss يسرق البيانات المفصلة حول الحواسب المصابة بما فيها تاريخ التصفح، ملفات تعريف الارتباط، كلمات المرور وإعدادات النظام. كما أنه قادر على سرقة البيانات الخاصة بأنظمة الصيرفة الالكترونية وأساليب الدفع.
•يظهر تحليل Gauss أنه قد صمم لسرقة البيانات من مختلف البنوك اللبنانية بما فيها Bank of Beirut، EBLF، BlomBank، ByblosBank، FransaBank وCredit Libanais. كما أنه يستهدف عملاء Citibank وPayPal.
واكتشف البرنامج الخبيث من قبل خبراء كاسبرسكي لاب في يونيو 2012. ويحمل البرنامج الخبيث اسم عالم الرياضيات الألماني Johann Carl Friedrich Grauss اطلقه عليه مبتكره المجهول. وتحمل مكونات أخرى للبرنامج أسماء علماء الرياضيات مشهورين بمن فيهم Joseph-Louis Lagrange وKurt Gӧdel. وأظهرت التحريات أن الحوادث الأولى التي شارك فيها Gauss تعود إلى سبتمبر 2011. وفي يوليو 2012 توقفت خوادم C&C التابعة لـGauss عن العمل.
وتعمل البنى المتعددة في Gauss على جمع البيانات من المتصفحات التي تتضمن المواقع التي زارها المستخدم وكلمات السر. وترسل البيانات المفصلة حول الآلة المصابة إلى المهاجمين بما فيها خواص الشبكة، مشغلات الحاسب وبيانات نظام الإدخال والإخراج الأساسي. كما تستطيع بنية Gauss سرقة البيانات من عملاء البنوك اللبنانية ومنها Bank of Beirut، EBLF، BlomBank، ByblosBank، FransaBank وCredit Libanais. كما أنه يستهدف عملاء Citibank وPayPal.
ويتمتع Gauss بالقدرة على إصابة وسائط التخزين النقالة USB باستخدام ثغرة LNK التي استغلها Stuxnet وFlame من قبل. وفي الوقت نفسه تتطلب إصابة USB براعة أكبر. ويستطيع Gauss إزالة العدوى من المشغل في ظروف معينة ويستخدم الوسائط النقالة لحفظ البيانات التي جمعها في ملف خفي. كما يقوم حصان طروادة Gauss بتثبيت خط Palida Narrow ولا يعرف الهدف من ذلك بعد.
في حين أن Gauss شبيه Flame من حيث التصميم إلا أن جغرافية الإصابات مختلفة بشكل ملموس، حيث سجل العدد الأكبر من الإصابات بـ Flame في إيران، في حين كان غالبية ضحايا Gauss في لبنان. كما أن عدد الإصابات مختلف. وانطلاقا من التقارير التي وفرتها شبكة كاسبرسكي للأمان KSN، تمكن Gauss من إصابة 2500 آلة تقريبا. بالمقارنة، أصاب Flame ما يقارب 700 آلة.
على الرغم من أن طريقة إصابة الحواسب لا تعرف إلى الآن، من الواضح أن نشر Gauss يتم بأسلوب آخر يختلف عن Flame وDuqu؛ غير أنه على غرار الأسلحة الالكترونية التجسسية، فإن انتشار Gauss يتم تحت المراقبة ما يدل على طابع السرية والتسلل للهجمات.
وفي تعليق على Gauss، قال ألكسندر غوستيف، كبير خبراء الأمن بكاسبرسكي لاب: "هناك أوجه تشابه كثيرة بين Gauss وFlame مثل التصميم، قواعد الشيفرة وهذا قد ساعدنا في اكتشاف البرنامج الخبيث. وعلى غرار Flame وDuqu، يعد Gauss مجموعة من أدوات التجسس الالكتروني التي تتسم بطابع التسلل والسرية؛ غير أن هدفه مختلف عن أهداف Flame وDuqu. Gauss يستهدف مستخدمين متعددين في بلدان مختارة لسرقة أكبر قدر من البيانات مع التركيز على البيانات المصرفية والمالية".
في الوقت الراهن، يشخص حصان طروادة Gauss بنجاح ويتم تعطيله وعلاجه بواسطة منتجات كاسبرسكي لاب ويصنف تحت اسم Trojan-Spy.Win32.Gauss.
وقد نشر خبراء الشركة تحليلا معمقا للبرنامج الخبيث على موقع Securelist.
أدوات لإزالة الفيروس:
شركة كاسبر سكاي نفسها أطلقت أداة تمكنك من معرفة ما إذا كان جهازك مصاب بالفيروس وإزالته
ويمكن تحميلها من الرابط التالي:
https://support.kaspersky.com/viruse...ol2011?level=2
كما أطلقت شركة crysys صفحة إنترنت تمكنك من الكشف عن وجود الفيروس
وهي متوفرة على الرابط
http://gauss.crysys.hu/
أتمنى من الجميع أخذ الحيطة والحذر وقراءة آخر التحذيرات الأمنية، والتأكد من تحديث برنامج الحماية بشكل مستمر وأنه فعال، كما أنني أوصي بتحديث الويندوز بشكل دائم.
أقدم لكم بعض المعلومات التي نعرفها عن فيروس –Gauss، بالإضافة إلى بعض الأدوات لإزالته.
فيروس –Gauss.
لقد تم اكتشاف هذا الفيروس من قبل شركة كاسبر سكاي في يونيو الماضي، وهو فيروس خطير ومعقد تم تمويله من قبل دولة ما كما تقول الشركة.
وهذا الفيروس ليس الأول الذي يتم اكتشافه لكنه الأخطر كونه يستهدف بيانات المستخدمين الأساسية وبيانات المصارف.
في اعتقادي أن هذه الفيروسات بالغة التعقيد هي بداية لحرب إلكترونية غير معلنة بين أطراف متصارعة في العالم، فقد وجدوا في هذه الطريقة ضالتهم كونها غير مكلفة، ولا تستدعي إرسال الجيوش.
هذه الفيروسات التي تم اكتشافها مؤخرا تستهدف البلدان في الشرق الأوسط، وهي بلدان لا تمتلك القدرات التقنية، وليس لديها مراكز بحوث كبرى تستطيع اكتشاف هذه الفيروسات المعقدة.
وحسب ما تقول كاسبر سكاي إن الفيروس به بعض الشفرات الخفية التي لم يتم معرفة الهدف منها حتى الآن وهي تدعوا المتطوعين للمساهمة في ذلك.
وإليكم النشرة الكاملة التي أصدرتها كاسبر سكاي حول اكتشاف الفيروس:
كاسبرسكي لاب والاتحاد الدولي للاتصالات يكتشفان تهديدا الكترونيا جديدا يراقب الحسابات البنكية في الانترنت –Gauss
تعلن شركة كاسبرسكي لاب عن اكتشاف Gauss، التهديد الالكتروني الجديد الذي يستهدف المستخدمين في الشرق الأوسط. وGauss عبارة عن مجموعة أدوات تجسسية معقدة ممولة من قبل دولة ما، صممت لسرقة البيانات الحساسة مع التركيز على كلمات المرور، بيانات الحساب البنكي في الانترنت، ملفات تعريف الارتباط والإعدادات الخاصة للآلات المصابة.
تعاونت كاسبرسكي لاب مع سيكيولرت لمراقبة خوادم القيادة والتحكم الخاصة بحملة "مادي". وقد كشفت الشركتان عن أكثر من 800 ضحية في ايران واسرائيل وبلدان محددة في جميع أنحاء العالم المتصلين بخوادم التحكم والقيادة على مدى الأشهر الثمانية الماضية. وكشفت الاحصاءات المتوفرة من عملية المراقبة أن الضحايا شملوا في المقام الأول رجال الأعمال الذين يديرون مشاريع البنية التحتية الحيوية في إيران وإسرائيل، فضلاً عن المؤسسات المالية الإسرائيلية، وطلاب الهندسة في الشرق الأوسط، وجهات حكومية مختلفة في الشرق الأوسط.
وتعد وظيفة الصيرفة الالكترونية في حصان طروادة لـGauss خاصية فريدة لم يعثر عليها في الأسلحة الالكترونية السابقة.
وقد عثر على Gauss خلال التحريات التي بادر بها الاتحاد الدولي للاتصالات، عقب اكتشاف Flame، بهدف التقليل من المخاطر التي تشكلها الأسلحة الالكترونية وهي المكون الرئيسي في إحلال السلام الالكتروني في العالم.
ويتخذ الاتحاد الدولي للاتصالات بدعم خبراء كاسبرسكي لاب، خطوات هامة لتعزيز الأمن الالكتروني في العالم من خلال التعاون مع جميع المستثمرين ذوي العلاقة كالحكومات، القطاع الخاص، المنظمات الدولية والمجتمع المدني إضافة إلى الشركاء الرئيسيين في إطار مبادرة ITU-IMPACT.
وقد اكتشف خبراء كاسبرسكي لاب Gauss من خلال تشخيص المعالم المشتركة التي يتقاسمها البرنامج الخبيث مع Flame، ومن بينها المنصات الهندسية الشبيهة، هيكلية البنى، قواعد الشيفرة وسبل الاتصال مع خوادم الأوامر والمراقبة C&C.
حقائق مختصرة:
•تشير نتائج البحث أن Gauss باشر بشن هجماته خلال شهر سبتمبر 2011.
•اكتشف لأول مرة في يونيو 2012 بفضل المعلومات التي تم الحصول عليها بعد التحليل والبحث المعمقين لبرمجيات Flame الخبيثة.
•اكتشافه أصبح ممكنا بفضل التشابه بينه وبين Flame.
•جرى تعطيل عمل البنى التحتية لخوادم C&C الخاصة بـGauss في يوليو 2012 بعد اكتشافه. حاليا يتواجد Gauss في حالة سكون وينتظر لحظة بدء عمل خوادم C&C.
•ابتداء من أواخر مايو 2012، أكثر من 2500 إصابة سجلت من قبل النظام الأمني المعتمد على الحوسبة السحابية من كاسبرسكي لاب، حيث من المتوقع أن ضحايا Gauss يحصون بعشرات الآلاف. وهذا المؤشر أدنى مقارنة بضحايا Stuxnet لكنه أعلى بكثير من عدد هجمات Flame وDuqu.
•Gauss يسرق البيانات المفصلة حول الحواسب المصابة بما فيها تاريخ التصفح، ملفات تعريف الارتباط، كلمات المرور وإعدادات النظام. كما أنه قادر على سرقة البيانات الخاصة بأنظمة الصيرفة الالكترونية وأساليب الدفع.
•يظهر تحليل Gauss أنه قد صمم لسرقة البيانات من مختلف البنوك اللبنانية بما فيها Bank of Beirut، EBLF، BlomBank، ByblosBank، FransaBank وCredit Libanais. كما أنه يستهدف عملاء Citibank وPayPal.
واكتشف البرنامج الخبيث من قبل خبراء كاسبرسكي لاب في يونيو 2012. ويحمل البرنامج الخبيث اسم عالم الرياضيات الألماني Johann Carl Friedrich Grauss اطلقه عليه مبتكره المجهول. وتحمل مكونات أخرى للبرنامج أسماء علماء الرياضيات مشهورين بمن فيهم Joseph-Louis Lagrange وKurt Gӧdel. وأظهرت التحريات أن الحوادث الأولى التي شارك فيها Gauss تعود إلى سبتمبر 2011. وفي يوليو 2012 توقفت خوادم C&C التابعة لـGauss عن العمل.
وتعمل البنى المتعددة في Gauss على جمع البيانات من المتصفحات التي تتضمن المواقع التي زارها المستخدم وكلمات السر. وترسل البيانات المفصلة حول الآلة المصابة إلى المهاجمين بما فيها خواص الشبكة، مشغلات الحاسب وبيانات نظام الإدخال والإخراج الأساسي. كما تستطيع بنية Gauss سرقة البيانات من عملاء البنوك اللبنانية ومنها Bank of Beirut، EBLF، BlomBank، ByblosBank، FransaBank وCredit Libanais. كما أنه يستهدف عملاء Citibank وPayPal.
ويتمتع Gauss بالقدرة على إصابة وسائط التخزين النقالة USB باستخدام ثغرة LNK التي استغلها Stuxnet وFlame من قبل. وفي الوقت نفسه تتطلب إصابة USB براعة أكبر. ويستطيع Gauss إزالة العدوى من المشغل في ظروف معينة ويستخدم الوسائط النقالة لحفظ البيانات التي جمعها في ملف خفي. كما يقوم حصان طروادة Gauss بتثبيت خط Palida Narrow ولا يعرف الهدف من ذلك بعد.
في حين أن Gauss شبيه Flame من حيث التصميم إلا أن جغرافية الإصابات مختلفة بشكل ملموس، حيث سجل العدد الأكبر من الإصابات بـ Flame في إيران، في حين كان غالبية ضحايا Gauss في لبنان. كما أن عدد الإصابات مختلف. وانطلاقا من التقارير التي وفرتها شبكة كاسبرسكي للأمان KSN، تمكن Gauss من إصابة 2500 آلة تقريبا. بالمقارنة، أصاب Flame ما يقارب 700 آلة.
على الرغم من أن طريقة إصابة الحواسب لا تعرف إلى الآن، من الواضح أن نشر Gauss يتم بأسلوب آخر يختلف عن Flame وDuqu؛ غير أنه على غرار الأسلحة الالكترونية التجسسية، فإن انتشار Gauss يتم تحت المراقبة ما يدل على طابع السرية والتسلل للهجمات.
وفي تعليق على Gauss، قال ألكسندر غوستيف، كبير خبراء الأمن بكاسبرسكي لاب: "هناك أوجه تشابه كثيرة بين Gauss وFlame مثل التصميم، قواعد الشيفرة وهذا قد ساعدنا في اكتشاف البرنامج الخبيث. وعلى غرار Flame وDuqu، يعد Gauss مجموعة من أدوات التجسس الالكتروني التي تتسم بطابع التسلل والسرية؛ غير أن هدفه مختلف عن أهداف Flame وDuqu. Gauss يستهدف مستخدمين متعددين في بلدان مختارة لسرقة أكبر قدر من البيانات مع التركيز على البيانات المصرفية والمالية".
في الوقت الراهن، يشخص حصان طروادة Gauss بنجاح ويتم تعطيله وعلاجه بواسطة منتجات كاسبرسكي لاب ويصنف تحت اسم Trojan-Spy.Win32.Gauss.
وقد نشر خبراء الشركة تحليلا معمقا للبرنامج الخبيث على موقع Securelist.
أدوات لإزالة الفيروس:
شركة كاسبر سكاي نفسها أطلقت أداة تمكنك من معرفة ما إذا كان جهازك مصاب بالفيروس وإزالته
ويمكن تحميلها من الرابط التالي:
https://support.kaspersky.com/viruse...ol2011?level=2
كما أطلقت شركة crysys صفحة إنترنت تمكنك من الكشف عن وجود الفيروس
وهي متوفرة على الرابط
http://gauss.crysys.hu/
أتمنى من الجميع أخذ الحيطة والحذر وقراءة آخر التحذيرات الأمنية، والتأكد من تحديث برنامج الحماية بشكل مستمر وأنه فعال، كما أنني أوصي بتحديث الويندوز بشكل دائم.
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى