عمر باعقيل
27-01-2006, 02:06 PM
موسوعة الفيروسات
دودة
W32.Feebs.E@mm
تاريخ الكشف: 12 يناير/كانون الثاني 2006.
الوصف: دودة تقوم بارسال عدد هائل من الرسائل كما انها تنتشر من خلال شبكات تبادل الملفات وتخفض من اعدادات الأمن والحماية في الكمبيوتر المصاب.
مستوى الخطورة: عدد الاصابات: 0 49.
عدد المواقع: 3 9.
التوزيع الجغرافي: منخفض.
العلاج: سهل.
الازالة: صعبة بعض الشيء.
طرق الازالة:
1 قم بتعطيل ميزة استعادة النظام “ويندوز وزميلينيوم/ويندوز اكس بي”.
2 قم بتحديث تعريفات الملفات.
3 امسح كل النظام بواسطة برنامج مكافحة الفيروسات وامح كل الملفات المصابة.
4 امح أية قيم مضافة الى سجل النظام.
5 قم بتمكين خدمة “المدخل المشترك “Shared Access”” مرة اخرى (ويندوز 2000/وويندوز XP” فقط.
التروجان
Trojan.Tabela.D
تاريخ الكشف: 14 يناير/كانون الثاني 2006.
الوصف: من نوع حصان طروادة “تروجان” يقوم بسرقة عناوين البريد الالكتروني من الكمبيوتر المصاب. ثم يقوم بارسال العناوين المسروقة الى موقع “gaby Photo.com” عن طريق منفذ “HTTP”.
طوله: 5118 بايتاً.
نظام التشغيل: كافة اصدارات “ويندوز”.
درجة الخطورة: عدد الاصابات: 0 49.
عدد المواقع: 0 2.
التوزيع الجغرافي: منخفض.
علاجه: سهل.
ازالته: سهلة.
طريقة الازالة:
قم بتعطيل ميزة استعادة النظام (ويندوز ميلينيوم واكس بي).
حدث تعريفات الفيروسات.
افحص النظام كاملا بواسطة برنامج مكافحة الفيروسات وامح كل الملفات المصابة.
امح كل القيم المضافة لسجل النظام.
“مسينجر بيتا 8”
يقوم فيروس جديد اسمه “MSN Massenger Beta 8” بإلهام الناس بأنه النسخة الجديدة من برنامج “مسينجر” رغم ان “مايكروسوفت” لم تطلق أية نسخة جديدة من هذا البرنامج.
وذكرت شركة “إف سكيور” أن الفيروس يقوم بالانتشار بأسلوبين هما:- تنزيل البرنامج من خلال موقع مزيف أو إرسال رسائل عن طريق الاجهزة المصابة لتنزيل البرنامج
عندما يتم تنزيل البرنامج وتشغيل الملف “beta8 Webinstall. exe” يقوم البرنامج بأخذ كل العناوين على قائمة مراسلات الضحية وإرسال رسائل لهم لتنزيل البرنامج مرة أخرى من الموقع.
كما يقوم البرنامج باستغلال الكمبيوتر المصاب وضمه إلى شبكة “زومبي” لمهاجمة أجهزة أخرى بواسطته.
التروجان
Trojan - Dropper. Win 33. Agent. VW
الأسماء الأخرى:- TR/Drop. Delf.nk.33, Backdoor. Graybird
المواصفات الفنية:-
يقوم هذا التروجان بتنزيل برامج ضارة على جهاز الضحية من دون علمه أو انتباهه الى العملية. والتروجان هو ملف من نوع:- “PEEXE”
ويبلغ حجمه: 262717 بايت.
ويتم تشغيل الفيروس كلما تمت إعادة تشغيل الجهاز وهو يعمل على إظهار دعايات وصور غير مرغوبة.
فيروس
Backdoor. Win32. Whisper.a
الأسماء الأخرى: Backdoor. IRC. Whisper, W32/S dbot. Worrgen.. الخ
المواصفات الفنية
يعطي هذا الفيروس القدرة لمستخدم آخر على الدخول الى جهاز الضحية عن بعد من خلال فتح باب خلفي للاتصال
وهو عبارة عن ملف تنفيذي يبلغ حجمه: - 20480 بايت.
طريقة العمل
- عندما يعمل الفيروس على الجهاز يقوم بنسخ نفسه في قائمة النظام تحت اسم: “rundll32. exe” ثم يقول بتسجيل الملف في قائمة النظام لضمان ان يفتح الباب الخلفي للاتصال كلما تم تشغيل نظام “الويندوز”.
إجراءات التخلص منه:
باستخدام “مدير المهمات” أنه عمل العملي التي اسمها: “rund1132. exe”
- قم بمحو مفتاح التسجيل التالي:-
CHKLM/Softwewe/Microsoft/Windows/Current Wersion/Run
Windows DLL Loader System/und1132.exe
- قم بمحو الملف System/rund1132.exe-:
التروجان
Win32.TopAnti.spyware.I
من أسمائه الأخرى:
Spyre
Trojan.click.438
Trojan.Startpage-309
Adware/Topspyware
Win32/TopantiSpyware.L
ملف “ويندوز” من نوع PE EXE حجمه 36 كيلوبايت. عندما ينصب نفسه على جهاز الضحية، ينسخ التروجان نفسه على قائمة النظام كملف تنفيذي “Winnook.exe”: winnook.exe*System*
وبعد ذلك يقوم بكتابة القيمة التالية على سجل الذاكرة ليضمن تنفيذ نفسه عند تشغيل النظام:
HKCUVersion
“winnook.exe*System *” = “Intel System Tool”
وعندما يتم تشغيل الجهاز يظهر التروجان أيقونة في شجرة النظام، وبعد فترة غير محددة يظهر هذه الرسالة:
كما يكون ملفا اسمه “desktop.html” في جذر قائمة “ويندوز” وبالتالي يتم فتح هذا الملف بشكل دوري في نافذة متصفح الانترنت على الشكل التالي:
واذا ما نقر المستخدم هذه الوصلة او أيقونة التروجان فسوف تفتح صفحة الموقع الالكتروني www.antivirus (http://www.antivirus/) - gold.com على متصفح الانترنت.
الدودة IM - WORM.Win32. Opanki.d
من أسمائها الأخرى: W32/ Opanki.Worm.gen، IRC Trojan وأسماء أخرى
هذه الدودة كتبت بلغة “C” وتنتشر كوصلة تشعبية وتمتاز بقدرات التروجان ويبلغ حجمها 3973 بايت. تصل هذه الرسالة كوصلة تشعبية من خلال رسائل الAOL الفورية، وعند تنفيذها تنسخ نفسها في قائمة “الويندوز” بشكل مباشر على شكل الملف التنفيذي NITEAIM.EXE وتغير اعدادات الملف ليكون مخفياً.
بعد ذلك تربط الدودة نفسها بمخدم عن بعد لتنتظر تنفيذ الأوامر التالية:
- استلام رسالة لنشرها من خلال رسائل ال AOL الفورية.
- تنزيل وتنفيذ الملفات.
المعالجة:
- حدث اعدادات وتعريفات برامج مكافحة الفيروسات.
- احذف كل الملفات التي يتم اكتشاف الدودة فيها.
- أعد تشغيل الجهاز اذا كان ذلك ضروريا.
دودة
W32.Feebs.E@mm
تاريخ الكشف: 12 يناير/كانون الثاني 2006.
الوصف: دودة تقوم بارسال عدد هائل من الرسائل كما انها تنتشر من خلال شبكات تبادل الملفات وتخفض من اعدادات الأمن والحماية في الكمبيوتر المصاب.
مستوى الخطورة: عدد الاصابات: 0 49.
عدد المواقع: 3 9.
التوزيع الجغرافي: منخفض.
العلاج: سهل.
الازالة: صعبة بعض الشيء.
طرق الازالة:
1 قم بتعطيل ميزة استعادة النظام “ويندوز وزميلينيوم/ويندوز اكس بي”.
2 قم بتحديث تعريفات الملفات.
3 امسح كل النظام بواسطة برنامج مكافحة الفيروسات وامح كل الملفات المصابة.
4 امح أية قيم مضافة الى سجل النظام.
5 قم بتمكين خدمة “المدخل المشترك “Shared Access”” مرة اخرى (ويندوز 2000/وويندوز XP” فقط.
التروجان
Trojan.Tabela.D
تاريخ الكشف: 14 يناير/كانون الثاني 2006.
الوصف: من نوع حصان طروادة “تروجان” يقوم بسرقة عناوين البريد الالكتروني من الكمبيوتر المصاب. ثم يقوم بارسال العناوين المسروقة الى موقع “gaby Photo.com” عن طريق منفذ “HTTP”.
طوله: 5118 بايتاً.
نظام التشغيل: كافة اصدارات “ويندوز”.
درجة الخطورة: عدد الاصابات: 0 49.
عدد المواقع: 0 2.
التوزيع الجغرافي: منخفض.
علاجه: سهل.
ازالته: سهلة.
طريقة الازالة:
قم بتعطيل ميزة استعادة النظام (ويندوز ميلينيوم واكس بي).
حدث تعريفات الفيروسات.
افحص النظام كاملا بواسطة برنامج مكافحة الفيروسات وامح كل الملفات المصابة.
امح كل القيم المضافة لسجل النظام.
“مسينجر بيتا 8”
يقوم فيروس جديد اسمه “MSN Massenger Beta 8” بإلهام الناس بأنه النسخة الجديدة من برنامج “مسينجر” رغم ان “مايكروسوفت” لم تطلق أية نسخة جديدة من هذا البرنامج.
وذكرت شركة “إف سكيور” أن الفيروس يقوم بالانتشار بأسلوبين هما:- تنزيل البرنامج من خلال موقع مزيف أو إرسال رسائل عن طريق الاجهزة المصابة لتنزيل البرنامج
عندما يتم تنزيل البرنامج وتشغيل الملف “beta8 Webinstall. exe” يقوم البرنامج بأخذ كل العناوين على قائمة مراسلات الضحية وإرسال رسائل لهم لتنزيل البرنامج مرة أخرى من الموقع.
كما يقوم البرنامج باستغلال الكمبيوتر المصاب وضمه إلى شبكة “زومبي” لمهاجمة أجهزة أخرى بواسطته.
التروجان
Trojan - Dropper. Win 33. Agent. VW
الأسماء الأخرى:- TR/Drop. Delf.nk.33, Backdoor. Graybird
المواصفات الفنية:-
يقوم هذا التروجان بتنزيل برامج ضارة على جهاز الضحية من دون علمه أو انتباهه الى العملية. والتروجان هو ملف من نوع:- “PEEXE”
ويبلغ حجمه: 262717 بايت.
ويتم تشغيل الفيروس كلما تمت إعادة تشغيل الجهاز وهو يعمل على إظهار دعايات وصور غير مرغوبة.
فيروس
Backdoor. Win32. Whisper.a
الأسماء الأخرى: Backdoor. IRC. Whisper, W32/S dbot. Worrgen.. الخ
المواصفات الفنية
يعطي هذا الفيروس القدرة لمستخدم آخر على الدخول الى جهاز الضحية عن بعد من خلال فتح باب خلفي للاتصال
وهو عبارة عن ملف تنفيذي يبلغ حجمه: - 20480 بايت.
طريقة العمل
- عندما يعمل الفيروس على الجهاز يقوم بنسخ نفسه في قائمة النظام تحت اسم: “rundll32. exe” ثم يقول بتسجيل الملف في قائمة النظام لضمان ان يفتح الباب الخلفي للاتصال كلما تم تشغيل نظام “الويندوز”.
إجراءات التخلص منه:
باستخدام “مدير المهمات” أنه عمل العملي التي اسمها: “rund1132. exe”
- قم بمحو مفتاح التسجيل التالي:-
CHKLM/Softwewe/Microsoft/Windows/Current Wersion/Run
Windows DLL Loader System/und1132.exe
- قم بمحو الملف System/rund1132.exe-:
التروجان
Win32.TopAnti.spyware.I
من أسمائه الأخرى:
Spyre
Trojan.click.438
Trojan.Startpage-309
Adware/Topspyware
Win32/TopantiSpyware.L
ملف “ويندوز” من نوع PE EXE حجمه 36 كيلوبايت. عندما ينصب نفسه على جهاز الضحية، ينسخ التروجان نفسه على قائمة النظام كملف تنفيذي “Winnook.exe”: winnook.exe*System*
وبعد ذلك يقوم بكتابة القيمة التالية على سجل الذاكرة ليضمن تنفيذ نفسه عند تشغيل النظام:
HKCUVersion
“winnook.exe*System *” = “Intel System Tool”
وعندما يتم تشغيل الجهاز يظهر التروجان أيقونة في شجرة النظام، وبعد فترة غير محددة يظهر هذه الرسالة:
كما يكون ملفا اسمه “desktop.html” في جذر قائمة “ويندوز” وبالتالي يتم فتح هذا الملف بشكل دوري في نافذة متصفح الانترنت على الشكل التالي:
واذا ما نقر المستخدم هذه الوصلة او أيقونة التروجان فسوف تفتح صفحة الموقع الالكتروني www.antivirus (http://www.antivirus/) - gold.com على متصفح الانترنت.
الدودة IM - WORM.Win32. Opanki.d
من أسمائها الأخرى: W32/ Opanki.Worm.gen، IRC Trojan وأسماء أخرى
هذه الدودة كتبت بلغة “C” وتنتشر كوصلة تشعبية وتمتاز بقدرات التروجان ويبلغ حجمها 3973 بايت. تصل هذه الرسالة كوصلة تشعبية من خلال رسائل الAOL الفورية، وعند تنفيذها تنسخ نفسها في قائمة “الويندوز” بشكل مباشر على شكل الملف التنفيذي NITEAIM.EXE وتغير اعدادات الملف ليكون مخفياً.
بعد ذلك تربط الدودة نفسها بمخدم عن بعد لتنتظر تنفيذ الأوامر التالية:
- استلام رسالة لنشرها من خلال رسائل ال AOL الفورية.
- تنزيل وتنفيذ الملفات.
المعالجة:
- حدث اعدادات وتعريفات برامج مكافحة الفيروسات.
- احذف كل الملفات التي يتم اكتشاف الدودة فيها.
- أعد تشغيل الجهاز اذا كان ذلك ضروريا.