بو وعد
02-18-2004, 06:51 PM
لا شك أن قضية الفيروسات قضية لا حل لها، وهي مستمرة حتى وإن ادعت جهة أنها قادرة على القضاء عليها، فقد تستطيع سد ثغرة يمكن أن يتسلل منها فيروس، أو توقف انتشار فيروس ، لكن القضاء على كل الفيروسات هذا أمر بعيد، خاصة إذا علمنا أن الفيروسات في تطور دائم وكلما أُغلق باب فُتح آخر.
وقد ازداد انتشار الفيروسات عندما طورت لتتجاوز مرحلة تلويث الملفات إلى عمل أكثر ذكاء بحيث تقوم بنشر نفسها ذاتياً وتفتح أبواباً للتجسس والاختراق أو سرقة معلومات ولعل أخطر هذه النوعية الدودة الفيروسية MyDoom التي نشرت الرعب لشدة دمارها وسرعتها الرهيبة في الانتشار . وسنعرض بعض المعلومات التعريفية عنها وسبل مكافحتها والوقاية منها وعلاجها:
الاسم الدارج : Mydoom.A
الاسم التقني : W32/Mydoom.A.worm
أسماء أخرى :
W32/Doomjuice.worm.a
W32.HLLW.Doomjuice
WORM_DOOMJUICE.A
Win32.Doomjuice.A.Worm
Win32.Doomjuice
I-Worm/Novarg
WORM_MIMAIL.R
W32/Mydoom@MM
I-Worm/Novarg@MM
النوع : دودة فيروسية Worm.
القوة التدميرية : عالية
سرعة الانتشار : عالية جداً
الأنظمة المعرضة للإصابة : Windows 2003/XP/2000/NT/ME/98/95
كيفية الانتشار : تنتشر بكثرة عبر البريد الإلكتروني بحيث تقوم بانتحال صفة وبريد صاحب الجهاز المصاب ومن ثم إلحاق نفسها برسائل بريدية ترسل باسمه إلى جميع العناوين المسجلة بدفتر العناوين. وأيضاً عبر تبادل الملفات بالكازا.
عناوين الرسائل المفخخة : تأخذ الرسائل الحاملة لهذه الدودة العديد من العناوين الشائعة، مثل :
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
كما أن محتوى الرسالة في الغالب يكون:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
ونجد أن المرفقات حجمها يتراوح ما بين 23 و 32 كيلو بايت، حيث تأتي بأحد المسميات التالية : document
readme
doc
text
file
data
test
message
body
وامتدادها إما exe أو pif أو scr أو bat أو com.
ولضمان السلامة يتوجب علينا الحذر والبعد أن أي رسائل مشبوهة تأتي باللغة الإنجليزية حتى وإن ظهر لنا أن العنوان الذي جاءت منه الرسالة هو لأحد الأصدقاء فهي كما أسلفنا ترسل نفسها من أي بريد تصيبه إلى جميع العناوين المسجلة فيه (لاحظ الشكلين 1و2).
http://www.alriyadh-np.com/Contents/18-02-2004/RiyadhNet/images/n2-182004.jpg
http://www.alriyadh-np.com/Contents/18-02-2004/RiyadhNet/images/n1-182004.jpg
أما أعضاء تبادل الملفات بالكازا فإنها ستظهر لهم بأسماء جذابة مثل :
nuke2004
office_crack
rootkitXP
strip-girl-2.0
bdcom_patches
activation_crack
icq2004-final
winamp5
كيفية إزالة آثارها:عندما تشك بأن جهازك قد أصيب بهذه الدودة قم بقطع الاتصال أولاً ثم شغل محرر التسجيل كما يلي:
Start> Run > Regedit.exe
توجه إلى قائمة تحرير Edit واختر بحث Find ثم الصق السطر التالي:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Gremlin= intrenat.exe
وعند العثور على تسجيل بهذا الشكل قم بإزالته فوراً، أو إن كنت لا تحسن إجراء مثل هذه الخطوة يمكنك الاستعاضة عنها بأداة إزالة فعالة لهذه الدودة والكثير من الديدان الخطرة، ويمكن الحصول على هذه الأداة من خلال الوصلة التالية:
http://www.ma3refah.org/protection/ac
[line]
مصدر الموضوع (http://www.alriyadh-np.com/Contents/18-02-2004/RiyadhNet/COV_1218.php)
وقد ازداد انتشار الفيروسات عندما طورت لتتجاوز مرحلة تلويث الملفات إلى عمل أكثر ذكاء بحيث تقوم بنشر نفسها ذاتياً وتفتح أبواباً للتجسس والاختراق أو سرقة معلومات ولعل أخطر هذه النوعية الدودة الفيروسية MyDoom التي نشرت الرعب لشدة دمارها وسرعتها الرهيبة في الانتشار . وسنعرض بعض المعلومات التعريفية عنها وسبل مكافحتها والوقاية منها وعلاجها:
الاسم الدارج : Mydoom.A
الاسم التقني : W32/Mydoom.A.worm
أسماء أخرى :
W32/Doomjuice.worm.a
W32.HLLW.Doomjuice
WORM_DOOMJUICE.A
Win32.Doomjuice.A.Worm
Win32.Doomjuice
I-Worm/Novarg
WORM_MIMAIL.R
W32/Mydoom@MM
I-Worm/Novarg@MM
النوع : دودة فيروسية Worm.
القوة التدميرية : عالية
سرعة الانتشار : عالية جداً
الأنظمة المعرضة للإصابة : Windows 2003/XP/2000/NT/ME/98/95
كيفية الانتشار : تنتشر بكثرة عبر البريد الإلكتروني بحيث تقوم بانتحال صفة وبريد صاحب الجهاز المصاب ومن ثم إلحاق نفسها برسائل بريدية ترسل باسمه إلى جميع العناوين المسجلة بدفتر العناوين. وأيضاً عبر تبادل الملفات بالكازا.
عناوين الرسائل المفخخة : تأخذ الرسائل الحاملة لهذه الدودة العديد من العناوين الشائعة، مثل :
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
كما أن محتوى الرسالة في الغالب يكون:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
ونجد أن المرفقات حجمها يتراوح ما بين 23 و 32 كيلو بايت، حيث تأتي بأحد المسميات التالية : document
readme
doc
text
file
data
test
message
body
وامتدادها إما exe أو pif أو scr أو bat أو com.
ولضمان السلامة يتوجب علينا الحذر والبعد أن أي رسائل مشبوهة تأتي باللغة الإنجليزية حتى وإن ظهر لنا أن العنوان الذي جاءت منه الرسالة هو لأحد الأصدقاء فهي كما أسلفنا ترسل نفسها من أي بريد تصيبه إلى جميع العناوين المسجلة فيه (لاحظ الشكلين 1و2).
http://www.alriyadh-np.com/Contents/18-02-2004/RiyadhNet/images/n2-182004.jpg
http://www.alriyadh-np.com/Contents/18-02-2004/RiyadhNet/images/n1-182004.jpg
أما أعضاء تبادل الملفات بالكازا فإنها ستظهر لهم بأسماء جذابة مثل :
nuke2004
office_crack
rootkitXP
strip-girl-2.0
bdcom_patches
activation_crack
icq2004-final
winamp5
كيفية إزالة آثارها:عندما تشك بأن جهازك قد أصيب بهذه الدودة قم بقطع الاتصال أولاً ثم شغل محرر التسجيل كما يلي:
Start> Run > Regedit.exe
توجه إلى قائمة تحرير Edit واختر بحث Find ثم الصق السطر التالي:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Gremlin= intrenat.exe
وعند العثور على تسجيل بهذا الشكل قم بإزالته فوراً، أو إن كنت لا تحسن إجراء مثل هذه الخطوة يمكنك الاستعاضة عنها بأداة إزالة فعالة لهذه الدودة والكثير من الديدان الخطرة، ويمكن الحصول على هذه الأداة من خلال الوصلة التالية:
http://www.ma3refah.org/protection/ac
[line]
مصدر الموضوع (http://www.alriyadh-np.com/Contents/18-02-2004/RiyadhNet/COV_1218.php)