مايدوم
كان مايدوم دودة حاسوبية تستهدف أجهزة الكمبيوتر التي تعمل بنظام مايكروسوفت ويندوز . رُصدت لأول مرة في 26 يناير 2004. وأصبحت أسرع دودة بريد إلكتروني انتشارًا على الإطلاق، متجاوزة الأرقام القياسية السابقة التي سجلتها دودة سوبيج و ILOVEYOU ، وهو رقم قياسي لم يُحطم حتى عام 2026. [ 1 ]
يبدو أن برنامج Mydoom قد تم تكليفه من قبل مرسلي البريد الإلكتروني العشوائي لإرسال رسائل غير مرغوب فيها عبر أجهزة الكمبيوتر المصابة، أو ما يُعرف بأجهزة "الزومبي". [ 2 ] يحتوي البرنامج الخبيث على رسالة نصية تقول : "آندي؛ أنا فقط أقوم بعملي، لا شيء شخصي، آسف"، مما دفع الكثيرين للاعتقاد بأن مُنشئ البرنامج الخبيث قد تلقى أجرًا. في البداية، أعربت العديد من شركات الأمن عن اعتقادها بأن البرنامج الخبيث نشأ من مبرمج في روسيا. ولا يزال المؤلف الحقيقي للبرنامج الخبيث مجهولًا.
بدا الفيروس في البداية كرسالة بريد إلكتروني رديئة الإرسال، وتجاهلها معظم من تلقوا الرسالة في البداية ظنًا منهم أنها بريد مزعج. ومع ذلك، انتشر الفيروس في نهاية المطاف ليصيب ما لا يقل عن خمسمائة ألف جهاز كمبيوتر حول العالم. [ 3 ]
أشارت التغطية الإعلامية المبكرة، التي اتسمت بالتكهنات، إلى أن الغرض الوحيد من الفيروس هو شنّ هجوم حجب الخدمة الموزع ضد مجموعة SCO . وقد استهدفت 25% من الأجهزة المصابة بفيروس Mydoom.A مجموعة SCO بتدفق هائل من البيانات. ورجّحت الصحافة المتخصصة، مدفوعةً بتصريحات مجموعة SCO نفسها، أن هذا يعني أن الفيروس صُمّم من قِبل أحد مؤيدي نظام لينكس أو البرمجيات مفتوحة المصدر، انتقامًا من الإجراءات القانونية المثيرة للجدل التي اتخذتها مجموعة SCO وتصريحاتها العلنية ضد لينكس. إلا أن هذه النظرية رُفضت فورًا من قِبل باحثي الأمن السيبراني. ومنذ ذلك الحين، رفضتها أيضًا جهات إنفاذ القانون التي تحقق في الفيروس، والتي تُرجعه إلى عصابات الجريمة الإلكترونية المنظمة.
أطلق كريغ شموجار، الموظف في شركة أمن الحاسوب مكافي وأحد أوائل مكتشفي دودة مايدوم، هذا الاسم على الدودة. وقد اختار شموجار هذا الاسم بعد أن لاحظ وجود كلمة "mydom" ضمن أحد أسطر شفرة البرنامج. وأشار قائلاً: "كان من الواضح منذ البداية أن هذه الدودة ستحقق انتشارًا واسعًا. لذا اعتقدت أن وجود كلمة "doom" في اسمها سيكون مناسبًا." [ 4 ]
نظرة عامة فنية
يُرسل فيروس Mydoom بشكل أساسي عبر البريد الإلكتروني ، ويظهر كخطأ في الإرسال، مع عناوين رسائل تتضمن "خطأ" أو "نظام تسليم البريد" أو "اختبار" أو "فشلت عملية البريد" بلغات مختلفة، بما فيها الإنجليزية والفرنسية. تحتوي الرسالة على مرفق ، إذا تم تشغيله ، يُعيد إرسال الفيروس إلى عناوين البريد الإلكتروني الموجودة في الملفات المحلية، مثل دفتر عناوين المستخدم. كما ينسخ الفيروس نفسه إلى "المجلد المشترك" لتطبيق مشاركة الملفات Kazaa في محاولة للانتشار عبره.
يتجنب فيروس مايدوم استهداف عناوين البريد الإلكتروني في جامعات معينة، مثل روتجرز ومعهد ماساتشوستس للتكنولوجيا وستانفورد وجامعة كاليفورنيا في بيركلي ، بالإضافة إلى شركات معينة مثل مايكروسوفت وسيمانتك . زعمت بعض التقارير المبكرة أن الفيروس يتجنب جميع عناوين البريد الإلكتروني التي تنتهي بـ .edu ، لكن هذا غير صحيح.
النسخة الأصلية، Mydoom.A ، موصوفة بأنها تحمل حمولتين :
- باب خلفي على المنفذ 3127/tcp للسماح بالتحكم عن بعد في جهاز الكمبيوتر المخترق (عن طريق وضع ملف SHIMGAPI.DLL الخاص به في دليل system32 وتشغيله كعملية فرعية لمستكشف Windows )؛ وهذا في الأساس هو نفس الباب الخلفي الذي يستخدمه Mimail .
- هجوم حجب الخدمة على موقع شركة SCO Group المثيرة للجدل ، والذي كان من المقرر أن يبدأ في 1 فبراير 2004. شكك العديد من محللي الفيروسات في فعالية هذا البرنامج الخبيث. وتشير الاختبارات اللاحقة إلى أنه يعمل في 25% فقط من الأنظمة المصابة. [ 5 ]
يستهدف الإصدار الثاني، Mydoom.B ، بالإضافة إلى حمله للبرمجيات الخبيثة الأصلية، موقع مايكروسوفت الإلكتروني، ويحجب الوصول إلى مواقع مايكروسوفت ومواقع مكافحة الفيروسات الشهيرة عبر الإنترنت عن طريق تعديل ملف hosts ، مما يعيق أدوات إزالة الفيروسات أو تحديثات برامج مكافحة الفيروسات. ونظرًا لقلة عدد نسخ هذا الإصدار المتداولة، لم تتأثر خوادم مايكروسوفت بشكل كبير. [ 6 ] [ 7 ]
الجدول الزمني
- 26 يناير 2004: تم رصد فيروس مايدوم لأول مرة حوالي الساعة الثامنة صباحًا بتوقيت شرق الولايات المتحدة (13:00 بالتوقيت العالمي المنسق)، قبيل بدء يوم العمل في أمريكا الشمالية. وقد وردت أولى الرسائل من روسيا. وخلال بضع ساعات في منتصف النهار، تسبب الانتشار السريع للفيروس في تباطؤ أداء الإنترنت بنسبة عشرة بالمئة تقريبًا، وانخفاض متوسط أوقات تحميل صفحات الويب بنسبة خمسين بالمئة تقريبًا. وتشير تقارير شركات أمن الحاسوب إلى أن مايدوم مسؤول عن حوالي رسالة بريد إلكتروني واحدة من كل عشر رسائل في ذلك الوقت.
- على الرغم من أن هجوم حجب الخدمة (DoS) الذي شنّه برنامج مايدوم كان مُقرراً أن يبدأ في 1 فبراير 2004، إلا أن موقع مجموعة SCO الإلكتروني توقف عن العمل لفترة وجيزة بعد ساعات من إطلاق البرنامج الخبيث. ولا يزال من غير الواضح ما إذا كان مايدوم مسؤولاً عن ذلك. وقد ادّعت مجموعة SCO أنها كانت هدفاً لعدة هجمات حجب خدمة موزعة في عام 2003، والتي لم تكن مرتبطة بفيروسات الحاسوب.
- 27 يناير 2004: عرضت مجموعة SCO مكافأة قدرها 250 ألف دولار أمريكي لمن يدلي بمعلومات تؤدي إلى القبض على مبتكر الفيروس. وفي الولايات المتحدة، بدأ مكتب التحقيقات الفيدرالي وجهاز الخدمة السرية تحقيقاتهما في الفيروس.
- 28 يناير 2004: تم اكتشاف نسخة ثانية من الفيروس بعد يومين من الهجوم الأول. رُصدت أولى الرسائل التي أرسلها Mydoom.B حوالي الساعة 14:00 بالتوقيت العالمي المنسق، ويبدو أنها صادرة من روسيا. تتضمن النسخة الجديدة هجوم حجب الخدمة الأصلي ضد مجموعة SCO، وهجومًا مماثلاً استهدف موقع Microsoft.com بدءًا من 3 فبراير 2004؛ ومع ذلك، يُشتبه في أن كلا الهجومين إما معطلان أو عبارة عن شفرة تمويه غير فعالة تهدف إلى إخفاء وظيفة الباب الخلفي لـ Mydoom. كما يحجب Mydoom.B الوصول إلى مواقع أكثر من 60 شركة أمن حاسوبي، بالإضافة إلى الإعلانات المنبثقة التي تقدمها DoubleClick وشركات التسويق الإلكتروني الأخرى.
- بلغ انتشار برنامج Mydoom ذروته؛ حيث أفادت شركات أمن الكمبيوتر أن برنامج Mydoom مسؤول عن ما يقرب من رسالة بريد إلكتروني واحدة من كل خمس رسائل في هذا الوقت.
- 29 يناير 2004: بدأ انتشار برنامج مايدوم بالتراجع بعد أن حالت أخطاء برمجية في برنامج مايدوم.ب دون انتشاره بالسرعة المتوقعة. وقدّمت مايكروسوفت مكافأة قدرها 250 ألف دولار أمريكي لمن يدلي بمعلومات تؤدي إلى القبض على مبتكر برنامج مايدوم.ب.
- في الأول من فبراير/شباط 2004، بدأ ما يُقدّر بمليون جهاز كمبيوتر حول العالم مصاب بفيروس مايدوم هجومًا واسع النطاق لحجب الخدمة الموزع ، وهو الأكبر من نوعه حتى ذلك الحين. ومع حلول الأول من فبراير/شباط في شرق آسيا وأستراليا، قامت شركة SCO بإزالة موقع www.sco.com من نظام أسماء النطاقات (DNS) حوالي الساعة 17:00 بالتوقيت العالمي المنسق في 31 يناير/كانون الثاني. (لم يتم حتى الآن تأكيد تعرض موقع www.sco.com لهجوم حجب الخدمة الموزع المخطط له).
- في 3 فبراير 2004، بدأ هجوم حجب الخدمة الموزع (DDoS) الذي شنه فيروس Mydoom.B على شركة مايكروسوفت، وقد استعدت مايكروسوفت لهذا الهجوم بتوفير موقع إلكتروني بديل غير متأثر بالفيروس، وهو information.microsoft.com. [ 8 ] ومع ذلك، ظل تأثير الهجوم محدودًا، وظل موقع www.microsoft.com يعمل بكفاءة. يُعزى ذلك إلى الانتشار المحدود نسبيًا لفيروس Mydoom.B، وقدرة خوادم مايكروسوفت على تحمل الأحمال العالية، والاحتياطات التي اتخذتها الشركة. ويشير بعض الخبراء إلى أن هذا التأثير كان أقل من تأثير تحديثات برامج مايكروسوفت وغيرها من الخدمات الإلكترونية المماثلة.
- 9 فبراير 2004: بدأ فيروس Doomjuice، وهو فيروس طفيلي، بالانتشار. يستخدم هذا الفيروس ثغرة أمنية تركها فيروس Mydoom للتكاثر. وهو لا يهاجم أجهزة الكمبيوتر غير المصابة. حمولته، المشابهة لحمولة فيروس Mydoom.B، عبارة عن هجوم حجب الخدمة ضد شركة مايكروسوفت. [ 9 ]
- 12 فبراير 2004: تمت برمجة برنامج Mydoom.A للتوقف عن الانتشار. ومع ذلك، يبقى الباب الخلفي مفتوحًا بعد هذا التاريخ.
- 1 مارس 2004: تمت برمجة Mydoom.B للتوقف عن الانتشار؛ كما هو الحال مع Mydoom.A، فإن الباب الخلفي لا يزال مفتوحًا.
- 26 يوليو 2004: هاجم نوع مختلف من برنامج Mydoom كلاً من Google و AltaVista و Lycos ، مما أدى إلى توقف عمل محرك بحث Google الشهير تمامًا خلال الجزء الأكبر من يوم العمل، وتسبب في تباطؤ ملحوظ في محركات AltaVista و Lycos لساعات.
- 23 سبتمبر 2004: ظهرت إصدارات Mydoom U و V و W و X، مما أثار مخاوف من أن يتم إعداد Mydoom جديد وأكثر قوة.
- 18 فبراير 2005: ظهور نسخة AO من Mydoom.
- يوليو 2009: عاد برنامج مايدوم للظهور في الهجمات الإلكترونية التي وقعت في يوليو 2009 والتي أثرت على كوريا الجنوبية والولايات المتحدة. [ 10 ]
انظر أيضاً
مراجع
- ↑ "شركة أمنية: دودة MyDoom الأسرع حتى الآن" . CNN.com . تايم وارنر. 28 يناير 2004. مؤرشف من الأصل في 14 نوفمبر 2007. تم الاطلاع عليه في 14 أكتوبر 2007 .
- ↑ تيرنان راي (18 فبراير 2004). "فيروسات البريد الإلكتروني تُعزى إليها الزيادة الحادة في الرسائل المزعجة" . صحيفة سياتل تايمز . شركة سياتل تايمز. مؤرشف من الأصل بتاريخ 26 أغسطس 2012. تم الاطلاع عليه بتاريخ 19 فبراير 2004 .
- ↑ "لا يزال خطر برنامج ماي دوم قائماً؛ مايكروسوفت تعرض مكافأة" . أخبار إن بي سي . 26 يناير 2004. مؤرشف من الأصل في 5 أغسطس 2021. تم الاطلاع عليه بتاريخ 29 يونيو 2022 .
- ↑ "مزيد من الكوارث؟" . نيوزويك . شركة واشنطن بوست . 3 فبراير 2004. مؤرشف من الأصل في 2 مارس 2009. تم الاطلاع عليه في 28 أكتوبر 2007 .
- ↑ " [ مراجعة ] فيروس ماي دوم: أكثر ديدان البريد الإلكتروني تدميراً وسرعة" . ميني تول . تم الاطلاع عليه بتاريخ 12-10-2023 .
- ↑ "فيروس مايدوم يبدأ بالانحسار" . بي بي سي نيوز . بي بي سي. 4 فبراير 2004. مؤرشف من الأصل في 16 أبريل 2004. تم الاطلاع عليه في 4 فبراير 2004 .
- ↑ "كيفية إحباط ثغرة البريد الإلكتروني 'MyDoom' المتجددة" . أخبار ABC . مؤرشف من الأصل بتاريخ 28 سبتمبر 2020. تم الاطلاع عليه بتاريخ 28 يونيو 2020 .
- ↑ "معلومات مايكروسوفت: ماي دوم (أرشيف واي باك من 4 فبراير 2004)" . microsoft.com . 2004-02-04. مؤرشف من الأصل في 4 فبراير 2004.
- ↑ "W32.HLLW.Doomjuice" . شركة سيمانتك. 13 فبراير 2007. مؤرشف من الأصل في 15 أبريل 2004. تم الاطلاع عليه في 10 فبراير 2004 .
- ↑ "هاكر كسول ودودة صغيرة يُشعلان حربًا إلكترونية محمومة" . وايرد نيوز . 8 يوليو 2009. مؤرشف من الأصل في 10 يوليو 2009. تم الاطلاع عليه في 9 يوليو 2009 .
روابط خارجية
- هجمات ماي دوم وهجمات DDoS
- "Email-Worm.Win32.Mydoom.a" . Viruslist.com . مختبر كاسبرسكي. مؤرشف من الأصل بتاريخ 15-10-2006.
- عرضت منظمة الأمن والتعاون في أوروبا مكافأة لمن يقبض على مؤلف فيروس مايدوم ويدينه - بيان صحفي صادر عن منظمة الأمن والتعاون في أوروبا، 27 يناير 2004. لاحظ الادعاء بأن هجوم حجب الخدمة قد بدأ بالفعل في هذا التاريخ.
- "Mydoom" . صفحات معلومات فيروسات الكمبيوتر من F-Secure . شركة F-Secure.
- "Win32.Mydoom.A" . مستشار أمني . شركة كمبيوتر أسوشيتس إنترناشونال. مؤرشف من الأصل بتاريخ 10 أبريل 2005. تم الاطلاع عليه بتاريخ 30 أبريل 2005 .
- معلومات عن دودة مايدوم من موقع Symantec.com
- "فيروس حاسوبي تسبب في أضرار بقيمة 50 مليار دولار" . قناة برنامج الرسوم البيانية على يوتيوب.
- ديدان الحاسوب
- ديدان البريد الإلكتروني
- العقد الأول من القرن الحادي والعشرين في مجال القرصنة
- 2004 في مجال الحوسبة
- برامج ضارة لنظام التشغيل ويندوز
