فيروسات العام هذا - نادي الهلال السعودي - شبكة الزعيم

بيكهام 7 حماني؟؟؟ · #1 21/10/2004, 12:02 PM

السلام عليكم ,,

بسبب كثرة الفيروسات المنتشرة قمت بجمع كل اخبار و كل جديد عن الفيروسات في هذا الموضوع لنشر الفائدة وعمومها على اعضاء المنتدى , واي عضو يجد اي جديد عن الفيروسات او الديدان فقط بعيدا عن الباك دورات وما إلى ذلك , الرجاء وضعها هنا ....

قبل أيام قليلة.. بدأ فيروس (دودة) جديد في الأنتشار في الشبكة...
وهذه الصورة توضح أنتشار الفيروس :

وهو يصيب أنظمة شركة ميكروسوفت جميعها دون أستثناء windows 95,98,me,2000,XP,2003 ....

ويقوم الفيروس.. والذي ينتشر عبر البريد الألكتروني بفتح ثغرة في الزيندوز ليتمكن من الأخرون من السيطرة التامة على الأجهزة المستهدفة (أو ما يسمى الضحايا)... وكذلك، وبشكل خاص، الفيروس ينتقل بسرعة أكبر عند من يستعمل برنامج الكازا لتحميل البرامج... وخاصة من يقومون بتحميل هذه البرامج من الكازا:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp

أو ملف يأتي بهذه الصورة:

أو بهذه

وقد أعلنت شركة مكافت الفيروس أنه فيروس خطير
أما شركة باندا ... فصنفته بدرجة خطورة 4 من 4 ...

وقد تكون الرسالة فيها أكثر من ملف واحد .. أحيانا بأمتداد exe أو zip أو غيرها... وأحيانا بامتداد txt وعند فتحه يقوم بعرض رسالة غير مفهومة.. مثل هذه:

أو مجرد تشغيل الملف بدون ظهور رسائل...

الفيروس يقوم بالسيطرة على المنفذ TCP ports 3127 thru 3198... ةيسمح للمهاجمين القيام بالسيطرة التامة على الجهاز...

وعندما يبدأ الفيروس عمله فأنه يقوم بنسخ نفسه ألى مجلد الويندوز بصيغة taskmon.exe وبالذات لمجلد النظام في مجلد ويندوز (C:\WINDOWS\SYSTEM)...
مجرد تشغيل الملف بدون ظهور رسائل...

الفيروس يقوم بالسيطرة على المنفذ TCP ports 3127 thru 3198... ةيسمح للمهاجمين القيام بالسيطرة التامة على الجهاز...

وعندما يبدأ الفيروس عمله فأنه يقوم بنسخ نفسه ألى مجلد الويندوز بصيغة taskmon.exe وبالذات لمجلد النظام في مجلد ويندوز (C:\WINDOWS\SYSTEM)...

المطلوب...

أولا.. عمل تحديث للويندوز من موقع ميروسوفت... (windows update)

عدم فتح أية رسائل ترد في البريد الألكتروني... حتى وأن كانت من مصدر معروف وموثوق به...
وتحميل آخر تحديث للمكافح فورا وبدون تأجيل...

وهذه الأسماء التي حظي الفيروس بها حاليا في شركات المكافحة المعروفة:

(W32/Mydoom@MM (McAfee
(Novarg (F-Secure
(W32.Novarg.A@mm (Symantec
(Win32.Mydoom.A (CA
(Win32/Shimg (CA
(WORM_MIMAIL.R (Trend

كيف تعرف أن جهازك مصاب بأحدى نسخ الفيروس ( MYDOOM A أو MYDOOM ؟

عرض موقع ميكروسوفت شرحا مفصلا لطريقة معرفة أن كان جهازك أصيب بالفيروس أم لا... ويمكن الأطلاع على الطريقة الخاصة بجميع أنظمة ميكروسوفت على هذا الرابط:

https://information.microsoft.com/s...irus/mydoom.asp

أو زيارة موقع ميكروسوفت للتوسع في الموضوع ومشاهدة تفاصيل أخرى عن البرنامج .. من هنا:
http://www.microsoft.com/downloads/...;displaylang=en

وكذلك ألأداة التي أصدرتها شركة نورتون الخاصة بأزالة الفيروس... ويمكنكم تحميلها من هنا:
[email protected]إصدار جديد للقضاء على بلاست
اسم البرنامج : W32.Novarg.A@mm Removal Tool 1.0.3

حجم : 140 k.b

نظام التشغيل : all
حمل من هنا

وهناك .. أداة أخرى.. أصدرتها شركة مكافي... لأزالة هذا الفيروس.. ويمكنكم تحميل الأداة من هنا:
ساحق الدوده القاتله الحديثه في الانترنتmydoom
اقلقت العالم مؤخرا وهي w32.mydoom
وهدا الفيروس يصلك من خلال الايميل من خلال رسائل
مرتبطه بالاباحيه او موجهه اليك شخصيا
حجم البرنامج 333kb نوع zib
freewere
win all
حمل من هنا

وكذلك يمكن أزالة الفيروس يدويا (لمن يهوى العبث بالريجستري) بالطريقة التالية:

1- لمن لديهم ويندوز أكس بي أو ويندوز ميلينيوم ... يجب أولا وقف خاصية أستعادة النظام... ( system restoring)..
2- تحديث فوري لمكافح الفيروسات في الجهاز.
3- أعادة تشغيل الجهاز في الوضع الآمن.
4- أجراء فحص شامل للجهاز (scan) بواسطة المكافح .. وحذف الفيروس الذي قد يكون باسم W32.Novarg.A@mm ... أو غيره - تبعا لشركة أنتاج المكافح...
5- التخلص من القيم التي أضافها الفيروس ألى الريجستري... وللقيام بذلك أتبع ما يلي:

أ - أفتح قائمة "أبدأ"..
ب - أضغط على "تشغيل"..
جـ - أكتب الأمر "regedit"..
د - تصفح المفاتيح التالية :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run
وكذلك
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre

ntVersion\Run

وقم بحذف القيمة التالية في الجهة اليمنى:

"Taskmon"="%System%\taskmon.exe"

هـ - تصفح المفتاح التالي:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr

entVersion\
Explorer\ComDlg32\Version

وقم بحذفه...

و- أذهب ألى المفتاح التالي:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre

ntVersion\
Explorer\ComDlg32\Version

وقم بحذفه...

ز - أذهب أخيرا ألى المفتاح التالي:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

وقم بتعديله ألى ما يلي:

"(Default)"="%System%\webcheck.dll"

ثم أخرج من البرنامج... وأعد تشغيل الجهاز...

بيكهام 7 حماني؟؟؟ · #2 21/10/2004, 12:05 PM

لقد تم اكتشاف فايروس جديد والذي إلى الآن لا يعرف مكان مصدره , وهو مايسمى ب W32/Netsky.s@MM , ويتوقع من هذا الفايروس حسب المصدر بأنه متوسط الفعاليه .

اسم الفايروس : W32/Netsky.s@MM
فعاليته : Medium
تاريخ توقع انتشاره : 4/5/2004م
المصدر : Unknown
نوعه : Internet Worm
بالاضافه إلى انه E-mail worm

الامتدادات التي سوف تصل عبر الايميل حامله هذا الفيروس هي :
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.ppt
.rtf
.sht
.shtm
.stm
.tbb
.txt
.uin
.vbs
.wsh
.wab
.xls
.xml

والميميل يأتي بعنوان:
Hello!
Hi!
Re: Important
Important
Re: My details
My details
Re: Your information
Your information
Re: Your details
Your details
Re: Your
Your
Re: Request
Request
Re: Thanks you!
Thank you!
Re: Approved
Approved
Re: Hello
Re: Hi
Hello
Hi

والمرفقات تأتي بأسم :
account
postcard
sample
developement
concept
story
report
icq_number
e-mail
phone_number
personal_message
photo_
order
important_
diggest
final_version
release
answer
bill
notice
requested_
deion
summary
picture_
movie_
approved_
old_

mail
letter
homepage
detailed_
powerpoint_
excel_
word_
info
information

new_
file
user_list
improved_file
secound_
file
number_list
contact_list
message
note
improved_
details
instructions
presentation_
abuse_list
archive
corrected_
list
approved_file

مثل هذي الصوره الموضحه :

واذا زرع الفيروس نفسه يأتي بالامتدادات التالية:
في الوندوز : %WinDir%\EASYAV.EXE
في الرجستري : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
\Run "EasyAV" = %WinDir%\EASYAV.EXE

وتحذير اخر : احد هذي الآيبيات يتوقع ان يصدر من اجهزتها وهي :
212.44.160.8
195.185.185.195
151.189.13.35
213.191.74.19
193.189.244.205
145.253.2.171
193.141.40.42
194.25.2.134
194.25.2.133
194.25.2.132
194.25.2.131
193.193.158.10
212.7.128.165
212.7.128.162
193.193.144.12
217.5.97.137
195.20.224.234
194.25.2.130
194.25.2.129
212.185.252.136
212.185.253.70
212.185.252.73

Worm.Bagle.y

04/27/2004 12:49, GMT +03:00, Moscow

Danger: moderate risk
Kaspersky Labs has detected I-Worm.Bagle.y, a new version of the Internet worm Bagle. The worm spreads as an attachment to emails, and also via local and file-sharing networks.

لقد تم اكتشاف فايروس جديد بأسم I-Worm.Bagle.y , ويعتمد على الانترنت في انشاره كالعاده , والفايروس في اغلب الاوقات يأتي كمرفقات في الايميل او يدخل عبر الشبكات العنكبوتية .

وهنا المقال كاملا :

I-Worm.Bagle.y
[ 04/27/2004 12:49, GMT +03:00, Moscow ]
Danger : moderate risk

Kaspersky Labs has detected I-Worm.Bagle.y, a new version of the Internet worm Bagle. The worm spreads as an attachment to emails, and also via local and file-sharing networks.

The message header, message and name and extension of the attached file varies. The body of the worm may be in unpacked form, or in a password protected archive. In the second case, the password will be shown in an image attached to the message. The message attachment may not contain the worm itself, but a dropper written in Visual Basic (a file with the extension .vbs). This dropper component will install the worm onto the victim system.

When the file containing the worm is launched, a fake dialogue box, "Can't find a viewer associated with this file", is displayed on screen. The program then writes itself to the system registry in order to autorun, and starts replicating.

The body of the worm contains the following message from the worm's author:

UNIQUE PEOPLE MAKE UNIQUE THINGS
THAT THINGS STAY BEYOND THE NORMAL LIFE AND COMMON UNDERSTANDING
THE PROBLEM IS THAT PEOPLE DON'T UNDERSTAND SUCH WILD THINGS,
LIKE A MAN DID NEVER UNDERSTAND THE WILD LIFE
-- Author of Bagle
I-Worm.Bagle.y is currently being analysed, and a full deion will be available in the Virus Encyclopaedia in the near future.

***ملاحظه: يجب تحديث برامج الحماية update it now !!! النورتون + المكافي + البيسي سلين ... الخ

بيكهام 7 حماني؟؟؟ · #3 21/10/2004, 12:09 PM

I-Worm.Zafi

This worm spreads via the Internet as an attachment to infected messages. It is 11776 bytes in size.

Characteristics of infected messages
Sender:
[email protected]
Message body:
Tisztelt felhasznalo!

Onnek kepeslapja erkezett!
A kepeslap feladoja: Leva
A lapot az alabbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2
vagy a mellekelt internetlink kattintasaval.

Udvozlettel: Matav e-card!
http//www.netezz.matav.hu/
Attachment name
link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF33 4GSDEv255
Propagation
The worm searches disks C, D, E, F, G, H for files with the following extensions, and harvests email addresses from these files:

adb
asp
avi
bmp
cab
com
dbx
dll
eml
exe
gif
htm
ico
iso
jpg
lnk
mbx
mp3
mpg
php
pk3
pmr
rar
sht
swp
tbb
txt
vxd
wab
wav
wmv
zip

If any of the words listed below are found in an address, the address will be ignored.

anti
avp
f-prot
gov
hotmail
microsoft
norton
panda
trendmicro
vir
Installation
The worm creates the following keys in the system registry:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run ]
The key value is a link to a copy of the worm in the system directory. The file name is randomly generated by the worm.

[HKLM\Software\Microsoft\Hazafi]
The key values of R1 - RA are the user name, user email, links to a copy of the worm in the system directory and links to the files which contain the email addresses harvested by the worm. All file names are randomly generated by the worm.

Other
Immediately following launch, the worm checks the current system date. If the local system date is 01.05.2004, the following dialogue box will be displayed. The worm will not work after 02.05 2004.

The worm terminates the following processes:

dfw.exe
fsav32.exe
fsbwsys.exe
fsgk32.exe
fsm32.exe
fssm32.exe
fvprotect.exe
mcagent.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ndd32.exe
netarmor.exe
netinfo.exe
netmon.exe
nmain.exe
nprotect.exe
ntvdm.exe
ostronet.exe
outpost.exe
pccguide.exe
pcciomon.exe
regedit.exe
regedit32.exe
taskmgr.exe
tnbutil.exe
vbcons.exe
vbsntw.exe
vbust.exe
vsmain.exe
vsmon.exe
vsstat.exe
winlogon.exe
zonalarm.exe

ظهر حالياً فايروس جديد يطلق عليه اسم (ساسر) وهذا الفايروس كانت خسائرة بالملايين

اسم الفايروس : W32/Sasser.worm.b وهو دودة

وقت الإعلان عنه : يوم السبت 5/1/2004

طريقة عمل الفايروس : يغلق الجهاز بعد 50 ثانية حيث تقوم بالبحث العشوائي عن أرقام الآي بي للأجهزة التي يكون المنفذ رقم 445فيها مفتوحاً.

.. شبيه في فايروس بلاستر اللذي ظهر قبل سنه تقريباً..

اذا ظهرت لك هذه الصوره فجهازك مصاب بالفايروس

وبعد ذلك ستظهر لك هذه الصوره لتطفئ جهازك

الأنظمة المعرضة للإصابة
تشير بعض التقارير إلى أن هذه الدودة تستهدف جميع أنظمة ويندوز ابتداءً بويندوز 98بإصدارتيه وكذلك الملينيوم بإصداراته وإن تي و 2000وإكس بي بكافة إصداراته و2003.

الآثار
من أبرز سمات هذه الدودة الفيروسية أنها تقوم بإعادة تشغيل الجهاز خلال 60ثانية كما كانت تفعل سلفها MyDoom ، وبعد أن تتحقق الإصابة تقوم الدودة بفتح المنفذ رقم 9996.
أيضاً تقوم بإنشاء ملف تنفيذي اسمه avserve.exe في دليل ويندوز وكذلك إنشاء التسجيل التالي في ملف الريجستري:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \avserve = avserve.exe

الحل :
أبحث عن الفايروس بجهازك عن طريق الملف التالي
حمل من هنا

ثم قم بسد الثغرة في ويندوز واستخدام الباتش التالي :
حمل من هنا

ماء الذهب · #4 21/10/2004, 01:05 PM

اخي بيكام 7 حماني

شكراً لك موضع مهم تشكر عليه

ولا ننسى فايروس الماسنجر الجديد

وهذا الفيروس يقوم بزرع ملفات في كل جهاز يصيبه ويقوم بوضع رابط لصوره بنت اسيويه

كيف تعرف بوجوده
تجد أن من يحادثك يظهر مع أي كلام يقوم بكتابته نصوص صينية أويابانية .. بالإضافة إلى
( وصلة ) و بمجرد فتحك لهذه الوصلة يُصاب جهازك بنفس المشكلة ... وفي بعض الاحيان لايصاب الجهاز على طول بل يأخذ بعض الوقت

خطوات الحل

هناك ثلاث خطوات
.................................................. ..................

1) الخطوة الأولى :

عن طريق الوندوز

- إبدا START
- تشغيل RUN

ومن ثّم كتابة الأمر :
regedit

في صندوق الأوامر .. واختيار " موافق "

ستظهر لك نافذة ، على يمينها مجلدات .. تتبع هذا المسار :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

و ثم قم بحذف المجلدات الآتية:
realone_nt2004 و
realone_nt2003

كما ترى هنا

بالضغط بالزر الأيمن واختيار ( حذف )

بعد ذلك قم بإنهاء الماسنجر ، ( اذهب له واضغط الزر الأيمن ، واختر - إنهاء - Exit - )

قم بالضغط على Ctrl +Alt +Del ستظهر لك نافذة اختر منها تبويب( Process العمليات ) و قم بإنهاء البرامج الاتية:
MONIKER.EXE
SYSLRAY.EXE

وذلك عن طريق تحديدها ومن ثم اختيار ( إنهاء العملية )

.................................................. .........

2) الخطوة الثانية :

الآن نقوم بمسح جميع الملفات التي قام صاحب الموقع بتنزيلها على جهازنا أثناء دخولنا الرابط ...

للقيام بذلك ، توجه إلى ( ملفات الإنترنت المؤقتة )

ويتم ذلك عن طريق >>فتح الاكسبلورر >>ومن ثم

>>الذهاب الى القائمة أدوات>>ومن ثم

خيارات إنترنت>> ومن ثم

قم بحذف الملفات وحذف ملفات الارتباط ولاننسى التعليم على حذف كافه الملفات دون اتصال

وقم بتحديث برنامجك الخاص بالحمايه وان لم يكن لديك قم بتحميل اي من البرامج الخاصه بالحمايه

ملاحظة : الشخص المصاب به لا يشاهد الرابط عند ارسال الكلام لصاحبه الشخص المتلقي للكلام في محادثة الماسنجر هو الي يشاهد الرابط .