فيروس WORM_CHIR.A
النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني.
أسماء الشهرة الأخرى :
W32/Chir@MM
I-Worm.Runouce
Win32/Chir.A@mm
درجة الخطورة : متوسطة
الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني ومن خلال الملفات المرفقة Attachments على الهيئة :-
From: iloveyou @ btamail.net.cn
Message Body:< >
Subject: Hi, i am
Attachment: P.exe
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة كما بالشكل رقم (1) من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- إذا وجدت في القائمة اليمنى ملف التسجيل Runouce حدده ثم قم بإلغائه.
4- أعد تشغيل الجهاز.
5- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات WORM_CHIR.A
فيروس PE_PERRUN.A
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات الملفات.
أسماء الشهرة الأخرى :
W32.Perrun
W32/Perrun
درجة الخطورة : متوسطة
الوصف : ينتقل هذا الفيروس عبر ملفات الصور ذات الإمتداد JPEG وتعتبر درجة خطورته فى أغلب الأحيان بسيطة وتنحصر على ملفات الصور فقط.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_CLASSES_ROOT>jpegfile> shell>open>command
3- من القائمة اليمنى حدد الملف Default ثم انقر عليه نقرا مزدوجا حتى يظهر مسار الملف.
4- تستطيع من هذا المسار أن تحدد ما إذا كانت ملفات الصور تحت الإمتداد JPEG متأثرة بوجود فيروس أم لا, إذا كان متأثرا فانقر بزر الماوس الأيمن على الملف ثم اختر Modify.
5- من مربع الحوار الذى سيظهر أدخل القيمة الآتية إذا كانت غير موجودة
rundll32.exe %System%\\SHIMGVW.DLL,ImageView_Fullscreen
6- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات PE_PERRUN.A
فيروس WORM_KELINO.A
النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني.
أسماء الشهرة الأخرى :
I-Worm.Kelino, KELINO.A
درجة الخطورة : خطيرة
الوصف : يصل هذا الفيروس إلى هدفه بواسطة 18 رسالة مختلفة كملف ملحق Attachment. ويهاجم البريد الإلكتروني ويرسل نفسه إلى أي عنوان يعثر عليه في دفتر العناوين في الجهاز الذي يصيبه كما يبطل مفعول البرامج المضادة للفيروسات. كما يستغل نقاط الضعف الموجودة في برنامجي البريد الإلكتروني Outlook و Outlook Express ومنذ تشخيصه للمرة الأولى, عثرت شركة Mcaffee المنتجة للبرامج المضادة للفيروسات على 775 ألف نسخة منه, ويصل عدد النسخ اليومية إلى نحو 20 ألف نسخة. ويعتبر هذا الفيروس مراوغ بقدر كبير وقادر على اختيار الأسماء بصورة عشوائية من دفتر العناوين ويستحدث انواعا كثيرة من الملفات نصوصا وملحقات, مما يجعل من الصعوبة بمكان تحديد مكانه وملاحقته. إضافة إلى قدرته على جعل برامج مكافحة الفيروسات عاجزة عن أداء دورها.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- من القائمة اليمنى حدد الملف %windir% الذى يأتي غالبا على الصورة :
C:\\Windows:"netpatch" "%windir%\\netbiospatch10.exe"
4- أعد تشغيل الجهاز.
5- افتح قائمة Start واختر الأمر Run ثم اكتب EXPLORER.EXE ثم انقر Ok.
6- انقر من الشاشة الجديدة View ثم اخنر الأمر Folder Options .
7- انقر التبويب View ثم نشط الاختيار Show All Files ثم Ok .
8- من مجلد التسجيل Registry احذف الملف netbiospatch10.exe ثم أعد تشغيل الجهاز.
9- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات WORM_KELINO.A
فيروس VBS_LOVELETTR.AS
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Visual Basic
أسماء الشهرة الأخرى :
LOVELETTR.AS
LOVELETTER.AS
VBS_COLOMBIA
COLOMBIA
PRESIDENT AND FBI SECRETS
درجة الخطورة : عالية
الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني وبرنامج Microsoft Outlook ومن خلال الملفات المرفقة Attachments وبالأخص يوم 17 من كل شهر ويقوم بإلغاء جميع برامح تشغيل الشبكة وبرامج تصفح الإنترنت من النظام كما يسبب:
* زيادة الوقت اللازم لتنفيذ بعض العمليات عن الوقت المعتاد
*تأخر في تحميل البرامج إلي ذاكرة الكمبيوتر, وعدم تشغيلها بالكفاءة المعتادة.
* ظهور رسائل تفيد بأنه لا توجد ذاكرة كافية لتشغيل البرامج, بالرغم من أن الذاكرة المتاحة كافية.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- احذف الملف LINUX32 من القائمة اليمنى.
4- افتح قائمة Start مرة أخرى واختر الأمر Run ثم اكتب Regedit وانقر Ok.
5- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run Services\\reload
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run\\plan columbia
6- كرر نفس ما سبق ثم أعد تشغيل الجهاز.
7- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_LOVELETTR.AS ثم حدد هذه الملفات أيضا وقم بمسحها:
c:\\Windows\\System\\LINUX32.vbs
c:\\Windows\\reload.vbs
c:\\Windows\\important_note.txt
c:\\Windows\\System\\US-PRESIDENT-AND-FBI-SECRETS.HTM
فيروس VBS_PETIK.I
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Visual Basic
أسماء الشهرة الأخرى :
I-Worm.Petik.I
درجة الخطورة : متوسطة
الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني وبرنامج Microsoft Outlook ومن خلال الملفات المرفقة Attachments على الهيئة:
Subject: What is the seven sins??
Message Body: Look at this file and learn them.
Attachment: Seven.vbs
ويقوم بإلغاء جميع خواص الماوس ولوحة المفاتيح من النظام.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- من النافذة التى ستظهر, ومن القائمة اليسرى افتح المجلدات الآتية :
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
3- احذف الملف C:\\Windows\\System من القائمة اليمنى, أو الملف :
C:\\WinNT\\System32:Envy = %system%\\envy.vbs
4- افتح المجلد الآتي :
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run Services
ثم احذف ملف التسجيل الآتى Lust = %system%\\lust.vbs
5- افتح المجلد الآتي :
HKEY_CURRENT_USER > txtfile > shell >open > command
ثم انقر ملف التسجيل Default من القائمة اليمنى وقم بالتعديل الآتي من :
{Default} = wscript %windows%\\Seven.vbs
إلى :
{Default} = %windows%\\NOTEPAD.EXE %1
حيث أن %windows% هو مسار برنامج Windowsوهو عادة على هيئةC:\\Windows or C:\\WinNT
6- افتح المجلد الآتي :
HKEY_CURRENT_USER > VBSfile > DefaultIcon
ثم انقر الملف Default من القائمة اليمنى وقم بالتعديل الآتي من :
{Default} = shell32.dll,-152oldicon = %windows%\\Wscript.exe,2
إلى :
{Default} = %windows%\\Wscript.exe,2oldicon = %windows%\\Wscript.exe,2
ثم إلغ الملف oldicon.
7- احذف الملف الآتي من سطح المكتب COPYRIGHT.txt.vbs ثم أعد تشغيل الجهاز.
8- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_PETIK.I
فيروس PE_MOE.A
النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني التي تستخدم بروتوكول Simple Mail Transfer Protocol في التنقل تحت الإمتداد *.exe و *.scr
أسماء الشهرة الأخرى : MOE.A
درجة الخطورة : متوسطة
الوصف : يقوم هذا الفيروس بالتنقل عبر البريد الإلكترونى كملف مرفق وينتج نسخة من نفسه عبر كل رسالة. ولقد وصل هذا الفيروس إلى العالم العربي قادما من استراليا والشرق الأقصى, وبدأ أول تأثير له على مؤسسات المال والإعلام في العاصمة البريطانية. وتعتقد الشركات المتخصصة بمكافحة فيروسات الكمبيوتر أن الوباء الجديد سيكون من أوسع أوبئة الكمبيوتر انتشارا هذا العام ويشك بعض خبراء مكافحة الفيروسات ممن فحصوا الفيروس الجديد والصفحات التي يقوم بإرسال المستخدمين إليها, أنه ليس سوى محاولة قام بها البعض لزيادة عدد الزوار إلى مواقعهم الإباحية. ويأتي انتشار الفيروس الجديد بعد مرور سنة واحدة بالضبط على انتشار فيروس مدمر آخر هو فيروس الحب الذي أدى إلى أضرار كبيرة في العديد من المؤسسات في شتى أرجاء العالم. ومن الجدير ذكره أن الفيروس الجديد لا يصيب سوى مستخدمي برنامج Outlook Express فقط.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- قارن من القائمة اليمنى قيم ملفات التسجيل.
4- احذف جميع الملفات التي تحتوي على قيم غير صحيحة.
5- أعد تشغيل الجهاز.
6- قم بمسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات PE_MOE.A
فيروس BKDR_LITMUS.002
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Backdoor
أسماء الشهرة الأخرى :
TROJ_BCKDR.JZ-1
BACKDOOR.JZ
TROJ_BCKDR.JZ-2
LITMUS.002
LITMUS
درجة الخطورة : عالية
الوصف : هذا الفيروس المدمر يتيح الفرصة لمخترقى أجهزة الكمبيوتر من استغلال أجهزة المصابين به في التحكم الكامل بالجهاز وإجراء أي تصرف كما لو كان جهازه.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
3- احذف ملف التسجيل Taskschd من القائمة اليمنى.
4- احذف المجلد TRAYWND.EXE.
5- أعد تشغيل الجهاز.
6- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات BKDR_LITMUS.002.
فيروس VBS_JADRA.A
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات VBscript.
أسماء الشهرة الأخرى :
VBS.Jadra
VBS.Madonna.a
درجة الخطورة : عالية
الوصف : يقوم هذا الفيروس المدمر بالتمكن من جميع ملفات VBS ويقوم بإضافة ملفات تسجيل أخرى إليها لعمل على تشغيل الملفات الآتية عند بداية عمل Windows
* DEFRAG.EXE
* WINFILE.EXE
* EXPLORER.EXE
* CDPLAYER.EXE
* COMMAND.COM
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
3- احذف جميع ملفات التسجيل الآتية من القائمة اليمنى:
Don't_Cry_for_me_Argentina = Explorer.exe c:\\windows\\Explorer.exe %
JadraquerKiller = Command.com c:\\windows\\Command.com %
ZoneAlarm Pro = Cdplayer.exe c:\\windows\\Cdplayer.exe %
AVPCC = Defrag.exe c:\\windows\\Defrag.exe %
AVP_Monitor = Scandskw.exe c:\\windows\\Scandskw.exe %
NAVDefAlert = Winfile.exe c:\\windows\\Winfile.exe %
McAfeeVirusScanService = Winfile.exe c:\\windows\\Winfile.exe %
4- افتح المجلد HKEY_CURRENT_USER ثم احذف الملف MyRegKey.
5- أعد تشغيل الجهاز.
6- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_JADRA.A.
فيروس WORM_APLORE.A
النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني
أسماء الشهرة الأخرى :
APLORE.A
Worm.Psecure
APLORE
درجة الخطورة : متوسطة
الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني ومن خلال الملفات المرفقة Attachments كما ينتقل أيضا عبر الملفات المحملة Downloaded من مواقع الإنترنت, ويقوم بإنشاء مفتاح تشغيل ذاتي لملف التسجيل Redegit عن بداية تشغيل الجهاز كما إنه يستقر بالذاكرة الداخلية للجهاز وينشر نفسه إلى المواقع الأخرى عن الدخول على الإنترنت
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- احذف ملف التسجيل Explorer=%SYSTEM%\\explorer.exe من القائمة اليمنى.
4-أعد تشغيل الجهاز.
5- احذف جميع الملفات الآتية من Windows System Directory:
EXPLORER.EXE (copy of itself)
PSECURE20X-CGI-INSTALL.VERSION6.01.BIN.HX.COM (copy of itself)
EMAIL.VBS (detected as VBS_PSECURE.A)
INDEX.HTML (detected as HTML_PSECURE.A)
APHEX.JPG (image)
HWND32.DLL (program usually truncates to 0 byte)
6- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات WORM_APLORE.A.
__________________
ما هي أهم الاحتياطات التي يجب اتخاذها للحماية من الهاكرز ؟
1- استخدم أحدث برامج الحماية من الهاكرز والفيروسات وقم بعمل مسح دوري وشامل على جهازك في فترات متقاربة خصوصاً إذا كنت ممكن يستخدمون الإنترنت بشكل يومي ..
2- لا تدخل إلى المواقع المشبوهة مثل المواقع التي تعلم التجسس والمواقع التي تحارب الحكومات أو المواقع التي تحوي أفلاماً وصوراً خليعة لأن الهاكرز يستخدمون أمثال هذه المواقع في إدخال ملفات التجسس إلى الضحايا حيث يتم تنصيب ملف التجسس ( الباتش ) تلقائياً في الجهاز بمجرد دخول الشخص إلى الموقع !!
3- عدم فتح أي رسالة إلكترونية من مصدر مجهول لأن الهاكرز يستخدمون رسائل البريد الإلكتروني لإرسال ملفات التجسس إلى الضحايا .
4- عدم استقبال أية ملفات أثناء ( الشات ) من أشخاص غير موثوق بهم وخاصة إذا كانت هذه الملفات تحمل امتداد (exe) مثل (love.exe) أو أن تكون ملفات من ذوي الامتدادين مثل (ahmed.pif.jpg) وتكون أمثال هذه الملفات عبارة عن برامج تزرع ملفات التجسس في جهازك فيستطيع الهاكرز بواسطتها من الدخول على جهازك وتسبيب الأذى والمشاكل لك ..
5- عدم الاحتفاظ بأية معلومات شخصية فى داخل جهازك كالرسائل الخاصة أو الصور الفوتوغرافية أو الملفات المهمة وغيرها من معلومات بنكية مثل أرقام الحسابات أو البطاقات الائتمانية ..
6- قم بوضع أرقام سرية على ملفاتك المهمة حيث لا يستطيع فتحها سوى من يعرف الرقم السري فقط وهو أنت .
7- حاول قدر الإمكان أن يكون لك عدد معين من الأصدقاء عبر الإنترنت وتوخى فيهم الصدق والأمانة والأخلاق .
8- حاول دائماً تغيير كلمة السر بصورة دورية فهي قابلة للاختراق.
9- تأكد من رفع سلك التوصيل بالإنترنت بعد الإنتهاء من استخدام الإنترنت.
10- لا تقم بإستلام أي ملف وتحميله على القرص الصلب في جهازك الشخصي إن لم تكن متأكدا من مصدره.
11-لا تطلب ابدا خاصيه حفظ كلمه المرور ... فى الاتصال الخاص بالانترنت .. او فى البريد الخاص بك .. او فى اى موقع تحتاج فيه لكلمه المرور ... وعندما يحاول احدا ما سرقه ارقامك السريه حتى فى حاله اختراقه لجهازك .. فانه لن يستطيع الحصول عليها
__________________
ما هي أشهر طريقة للكشف عن ملفات التجسس ؟
هناك العديد من الطرق للكشف عن وجود ملفات التجسس في جهازك ..
الطريقة الأولى : برامج الكشف عن ملفات التجسس والفيروسات
استخدام أحد برامج الكشف عن ملفات التجسس وكذلك الحماية من التجسس والهاكرز عن طريق عمل جدار ناري يمنع دخول المتطفلين ...
الطريقة الثانية : بواسطة الأمر :msconfig
- انقر على زر البدء Start
- اكتب في خانة التشغيل Run الأمر التالي : msconfig
- سوف تظهر لك نافذة System Configuration Utility
- اختر من هذه النافذة من أعلى قسم Start up
- ستظهر لك شاشة تعرض البرامج التي تبدأ العمل مباشرة مع بدء تشغيل الجهاز .
- إفحص هذة البرامج جيدا بالنظر فإن شككت بوجود برامج غريبة لم تقم أنت بتثبيتها بجهازك فقم بالغاء الإشارة الظاهرة بالمربع الصغير المقابل له فتكون بذلك قد أوقفت عمل البرنامج التجسسي أو غيره من البرامج الغير مرغوب بها.
تستطيع ايضا استعمال الامر msinfo32.exe
( عادة ياتي هذا exe مع برنامج الاوفيس )
الطريقة الثالثة : بواسطة مشغل الدوس Dos :
هذة الطريقة كانت تستخدم قبل ظهور الويندوز لإظهار ملفات التجسس مثل الباتش والتروجانز وهي من اسهل الطرق :
- افتح الدوس من محث MSDos بقائمة البدء Start
- أكتب الأمر التالي :
C:/Windows\\dir patch.* e
- إن وجدت ملف الباتش فقم بمسحة بالطريقة التالية:
C:\\Windows\\delete patch.*
الطريقة الرابعة
ان تتجه الى الدوس وتكتب الامر الاتى
C:\\Windows\\netstat -n
ولاحظ وجود مسافه بعد كلمه نت ستات ثم حرف الان ... ومعناها البحث عن الاتصال بالارقام
عندها سوف تظهر لك شاشه تاخذ ثوانى لاعطائك النتيجه وسوف تكون على النحو الاتى
Proto Local Address Foregin Address Stat
كل ما يهمنا فى الامر الفورن ادرس ووضعه
Foregin Address
والامر
Stat
وتعنى الاتى
Foregin Address = اى العنوان الاجنبى
State = اى الحاله او حاله الاتصال
سوف تجد فى الفورن ادرس ... ارقام مقدم الخدمه لك ..مع رقم البورت او المنفذ .. وهنا يجب ان تنتبه لان الحاله تكون كالاتى
ForeignAddress State
Established 212.123.234.200:8080
اى ان الارقام لمقدم الخدمه هى
212.123.234.200
ثم تاتى بعدها نقطتين فوق بعض ... ياتى بعدها رقم البورت وهو 8080
وهذا وضع طبيعى جدا ... ثم تاتى كلمه ... ستات ... اى الحاله وتحتها كلمه .. اشتبلش .. اى الاتصال تام .. وهذا ايضا طبيعى
----------------
الأربعاء أكتوبر 29, 2008 11:44 am
