تم الكشف عنها لأول مرة في أوائل سبتمبر 2011
بات انتشار العديد من إصدارات البرنامج الخبيث دوكو عبر الإنترنت خبراً رئيسياً في مجال أمن تكنولوجيا المعلومات. ويعود ذلك بشكل كبير إلى بعض أوجه التشابه بين هذه الدودة الجديدة ودودة ستكسنت ذات السمعة السيئة التي انتشرت في العام الماضي. لكن ما يثير القلق في هذه الحالة هو أن الهدف النهائي لدودة دوكو ما زال مجهولاً. يشار إلى أن خبراء مكافحة البرامج الخبيثة في كاسبرسكي لاب قد أجروا تحليلاتهم حول البرنامج الخبيث الجديد، وتوصلوا إلى النتائج الرئيسية التي سنوردها هنا.
تم كشف دودة دوكو لأول مرة في أوائل سبتمبر 2011، بعد قيام أحد مستخدمي الإنترنت في المجر بتحميل أحد مكونات البرنامج الخبيث على موقع Virustotal، الذي يحلل الملفات المصابة بواسطة برامج لمكافحة الفيروسات من شركات مختلفة (بما في ذلك كاسبرسكي لاب). لكن تبين أن العينة التي تم كشفها أولاً كانت مجرد واحدة من بين العديد من المكونات التي تتشكل منها الدودة. وبعد فترة وجيزة، وبطريقة مشابهة، حصل خبراء مكافحة البرامج الخبيثة في كاسبرسكي لاب على عينة من وحدة أخرى من الدودة عن طريق موقع Virustotal، وسمح تحليلها بإيجاد أوجه للتشابه بينها وبين ستكسنت.
ومع أن هناك بعض الأوجه العامة للتشابه بين الدودتين دوكو وستكسنت، إلا أن هناك أيضاً اختلافات كبيرة. فبعد فترة وجيزة من العثور على أنواع عدة من دودة دوكو، بدأ خبراء كاسبرسكي لاب بتعقب محاولات الدودة لإصابة الأجهزة في الوقت الفعلي مستخدمي شبكة كاسبيرسكي الأمنية القائمة على السحابة. وما يثير الدهشة هو أنه خلال الـ24 ساعة الأولى قامت الدودة بإصابة نظام واحد فقط. ومن ناحية أخرى، قامت دودة ستكسنت بإصابة عشرات الآلاف من النظم في جميع أنحاء العالم، ويفترض، مع ذلك، أنها كانت تستهدف بشكل أساسي نظم التحكم الصناعية المستخدمة في برامج إيران النووية. أما دودة دوكو فلا يزال هدفها النهائي مجهولاً حتى الآن.
إن الإصابة الوحيدة بواسطة الدودة المسجلة بين مستخدمي شبكة كاسبيرسكي الأمنية هي إصابة إحدى الوحدات المتعددة التي من المفترض أنها تشكل دودة دوكو. لم يتم بعد كشف حالات الإصابة عن طريق الوحدة الثانية، التي تعتبر، في جوهرها، برنامجاً خبيثاً منفصلاً من نوع Trojan-Spy. ويذكر أن هذه الوحدة من دودة دوكو بشكل خاص هي التي تمتلك الوظيفة الخبيثة، فهي تقوم بجمع معلومات عن الجهاز المصاب وتراقب أيضاً النقرات الرئيسية المنفذة على لوحة المفاتيح الخاصة بالجهاز المصاب.
وفي هذا السياق، قال ألكسندر غوستيف، رئيس خبراء الأمن في كاسبرسكي لاب: "لم نصادف بعد أية حالة من حالات الإصابة على أجهزة الكمبيوتر الخاصة بعملائنا بواسطة وحدة Trojan-Spy من دودة دوكو. هذا يعني أن دودة دوكو قد تكون موجهة ضد كمية صغيرة من الأهداف المحددة، ويمكن استخدام وحدات مختلفة لاستهداف كل واحد منها".
ومن بين الأسرار المرتبطة بدودة دوكو التي لم يتم كشفها حتى الآن، الوسيلة الأولى التي تستخدمها لاختراق النظام: لم يتم حتى الآن العثور على المثبت أو "البرنامج الساقط" اللازم لذلك. إن البحث عن هذه الوحدة من دودة دوكو جار، علماً أن هذه الوحدة بشكل خاص من شأنها أن تساعدنا في العثور على الهدف النهائي لهذا البرنامج الخبيث.
تستطيع منتجات كاسبرسكي لاب لمكافحة الفيروسات حالياً كشف كافة إصدارات دودة دوكو المعلن عنها. يمكنكم الإطلاع على المزيد من المعلومات حول هذه البرامج الخبيثة في مقالتي ألكسندر غوستيف وريان نارين على موقع Securelist.
مواقع النشر (المفضلة)