السلام عليكم ورحمة الله وبركاته ..
في الأيام الماضية عانينا من مئات من الايميلات والفيروسات التي تصل لنا .. هذه نبذة سريعة عن الفيروس بالاضافة إلى طريقة التخلص منه ..
المواصفات الفنية للفيروس
عند تشغيل فيروس ياماها اول شي يقوم بنسخ نفسه في في ملفات مخفية بهذه الاسماء والامكان
C:\%System%\WinServices.exe.
C:\%System%\Nav32_loader.exe
C:\%System%\Tcpsvs32.exe
يقوم بتحديد مكان مجلد الوندوز وينسخ نفسه في هذه الموقع بصفة ثابته
وذلك حسب اصدار الوندوز
NOTE: %System% is a variable. The worm locates the Windows system folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows 2000/NT/), or C:\Windows\System32 (Windows XP).
يقوم بعمل صيغة وقانون في الرجستري بالقيمة التالية
WinServices.exe C:\%System%\WinServices.exe
وفي الرجستري في هذه المواقع
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\RunServices
وبذلك يقوم الفيروس بتشغيل نفسه كل مرة تقوم بتشغيل الجهاز فيها
يقوم الفيروس باعداد نفسه ليقوم بتشغيل نفسه كل مرة على اساس انه ملف تطبيقي وذلك بتغير قيمته الخاصة في الرجستري
HKEY_LOCAL_MACHINE\Software\Classes\exef ile\shell\open\command
to
C:\%System%\WinServices.exe"%1 %*
وقد يقوم الفيروس بنسخ نفسه في مجلد
\Windows\System
بهذه الاسماء
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
يقوم الفيروس باغلاق ملفات مكافحة الفيروسات والحماية وذلك بعمل قانون لها يمنعها من ايقاف اي ملف يحمل الفايروس
المواصفات الخاصة بالايميل
يقوم الفيروس باستخدام ملقمات البريد الوارد والصادر الخاصة به وذلك ليقوم بارسال نفسه لكل ايميل موجود في ملف الايميلات بنظام التشغيل وندوز او في المسنجر هوت ميل والياهو بيجر وكل الملفات التي تحمل في الاكستنشن الحرفين اتش وتي ويحمل الفيروس اكثر من ملقم بريد وارد وصادر يمكنه استخدامها
وذلك ببرمجة عبقرية تم بها صنع هذا الفيروس
عنوان رسالة الفيروس عادة تكون
Are you the BEST
Free Win32 API source
Learn SQL 4 Free
I Love You..
Wanna be like a stone ?
Are you a Soccer Fan ?
Sexy Screensavers 4 U
Check it out
Sample Playboy
Hardcore Screensavers 4 U
XXX Screensavers 4 U
We want peace
Wanna be a HE-MAN
Visit us
One Virus Writer's Story
One Hacker's Love
World Tour
Whats up
Wanna be my sweetheart ??
Screensavers from Club Jenna
Jenna 4 U
Free rAVs Screensavers
Feel the fragrance of Love
Wanna Hack ??
Sample KOF 2002
The King of KOF
Wanna Brawl ??
Wanna Rumble ??
Play KOF 2002 4 Free
Demo KOF 2002
Free Demo Game
Wanna be friends ??
Need money ??
Are you beautiful
Who is your Valentine
Free Screenavers of Love
Free XXX
Free Screensavers
WWE Screensavers
Freak Out
Wanna be friends ?
Things to note
Lovers Corner
Patch for Elkern.gen
Patch for Klez.H
Free Screensavers 4 U
Project
Sample Screensavers
Are you in Love
I am in Love
I Love You
You are so sweet
The Hotmail Hack
U realy Want this
to ur lovers
to ur friends
Find a good friend
Learn How To Love
Are you looking for Love
Wowwwwwwwwwww check it
Check ur friends Circle
The world of Friendship
Shake it baby
How sweet this Screen saver
war Againest Loneliness
Need a friend?
Say 'I Like You' To ur friend
love speaks from the heart
Let's Dance and forget pains
Looking for Friendship
True Love
make ur friend happy
Who is ur Best Friend
hey check it yaar
Check this shit
Hello
Hi
اذا كان تاريخ جهازك هوه 25 مارس او 22 مايو راح تظهر لك رسالة تقول
Happy Birthday Dear
واذا كان يوم الجهاز هو الخميس راح يقوم الفيروس بعمل الاتي
اولا يقوم بعمل عشوائي لوضع الصفحة الرئيسية للمتصفح وذلك بالتحكم في الرجستري
HKEY_CURRENT_USER\Software\Microsoft\Int ernet Explorer\Main
to one of these:
على احد هذه العناوين
http:/ /www.unixhideout.com
http:/ /www.hirosh.tk
http:/ /www.neworder.box.sk
http:/ /www.blacksun.box.sk
http:/ /www.coderz.net
http:/ /www.hackers.com/html/neohaven.html
http:/ /www.ankitfadia.com
http:/ /www.hrvg.tk
http:/ /www.hackersclub.up.to
http:/ /geocities.com/snak33y3s
استعادة محتويات المستندات الخاصة بالمستخدم
HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Explorer\Shell Folders
طريقة التخلص من الفيروس
اذا نزلت الفيروس وشغلته اول شي تعمله هوه تحديث النورتن انتي فايروس
اعادة تشغيل الجهاز
نسخ ملف
Copy Regedit.exe
الى
Reg.com
وذلك حسب الخطوات التالية وحسب نظام التشغيل الخاص بجهازك
بعد تعديل الرجستري
قم باعادة تشغيل الجهاز
قم بتشغيل برنامج مكافحة الفيروسات واذا لم يقم بتشغيل نفسه
قم بتحميل المف التالي وهو التحديث الذكي الخاص بازالة هذا الفيروس
http://securityresponse.symantec.com...download.ht ml.
لمستخدمين نظام وندوز 95 و 98 يقوم بالذهاب الى
أبدأ ثم البرامج وبعد ذلك يقوم باختيار ايقونه
MS-DOS
وبذلك راح تفتح لك شاشة الدوس
بعد كذا انتقل للخطوة الثانية
اما لو كنت تستخدم نظام وندوز ملينيوم
اذهب الى ابدأ ثم برامج بعد ذلك برامج ملحقة ثم MS-DOS
اما بخصوص مستخدمين وندوز ان تي و 2000
فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
أكتب فيها الامر التالي
cd \winnt
ثم انتقل للخطوة الثانية
لو كنت تستخدم وندوز اكس بي
فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
أكتب فيها الامر التالي
cd \windows
الخطوة الثانية قم بكتابة الأمر التالي
copy regedit.exe reg.com
اضغط انتر
ثم اكتب الامر التالي
start reg.com
وأنتر
بعد اتمام هذه العملية عليك ان تقوم بتعديل الرجستري وذلك حسب الخطوات التالية
HKEY_LOCAL_MACHINE\Software\Classes\exef ile\shell\open\command
روح على تشغيل
RUN
اكتب فيها
REGEDIT
واحظ ملف الرجستي القديم عشان اذا خبصت ما تروح وطي
وتحفظه بانك تروح لكلمة رجستري فوق وتقوله اكسبورت رجستري فايل وتحفظ الملف في مكان كويس وبعد كذا اختار
HKEY_LOCAL_MACHINE
ثم
Software
بعد كذا
Classes
ثم
exefile
ثم
shell
ثم
open
ثم
command
وبعد كذا دبل كلك على كلمة ديفولت وغير القيمة الموجودة للقيمة هذه
"%1" %*
وهية
علامة تنصيص + علامة المئوية +رقم واحد + علامة تنصيص +مسافة + علامة مئوية +نجمة
بالنسبة لوندوز 95 و 98 ووندوز ان تي راح تكون هذه القيمة موجودة اول ما تضغط على زر الاوكي وراح تظهر بهذا الشكل
""%1" %*"
نلاحظ علامة تنصيص زايدة وهذه ما راح تظهر لو كان نظام التشغيل
الوندوز 2000 والاكس بي
بعد كذا روح واتاكد من مجلدات الرجستري هذه
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\RunServices
وبنفس الطريقة السابقة تقدر توصل لها
بعني
HKEY_LOCAL_MACHINE
ثم
Software\Microsoft
ثم
Windows
ثم
CurrentVersion
ثم
Run
وتتاكد اذا
من حذف هذه القيم من الجهة اليمين
WinServices.exe C:\%System%\WinServices.exe
وبعد كذا تقوم باعادة تشغيل الجهاز
والحمد لله رب العالمين