مجلس عبير التقنية شروحات برامج الكمبيوتر - الجديد في الإنترنت - Ios - Android


عدد مرات النقر : 29,333
عدد  مرات الظهور : 37,552,729

موضوع مغلق
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 22-05-2005, 04:58 PM   #1


 رقم العضوية :  117
 تاريخ التسجيل :  26-01-2005
 المشاركات :  2,041
 الدولة :  K u W a I t E
 الجـنـس :  ذكر
 عدد النقاط :  77
 قوة التقييم :  الملك كاظم will become famous soon enough
 SMS :

أنـا عـنـدي الكـلمة كـلـمة لمـا أقول أحـب أحـب .. ولو أشيـل الدنيـا عنـكـ .. عمـري مـأأحس بتعــب ,,

 اخر مواضيع » الملك كاظم
 تفاصيل مشاركات » الملك كاظم
 أوسمة و جوائز » الملك كاظم
 معلومات الاتصال بـ الملك كاظم

افتراضي فايروس احـــبـــك


فايروس احبك

ظهور هذا الفايروس I love you ولاول مرة اثار فوضى كبيرة في عالم الكمبيوتر والشبكات, خاصة لقابلية انتشاره السريعة. وبدأت ملاحقة الجناة ممن صنعوا هذا الفايروس. وقد تعاونت جهات كثيرة من المهتمة بامنيات الانترنت والشبكات, ومن ضمنها قسم في وكالة المخابرات الامريكية المختصة بمكافحة جرائم العابثين والمحتالين باستخدام الشبكة العريضة. وكذلك تمت مشاركة عدد كبير من المختصين في حماية الشبكات في هذا العمل. والانظار كلها توجهت الى الفلبين والى شخص يدعى نفسه بالعنكبوت Spider, والبرمجة المستخدمة لعمل هذا الفايروس هي Visual Basic ومن المعروف ان هذه اللغة هي شائعة الاستخدام نظراً لدعمها من قبل شركة مايكروسوفت. وحسب تصريحات شركة Security Focus فأن الفايروس احبك يستنسخ نفسه بثلاث طرق: عن طريق الملفات الملحقة بالبريد الالكتروني, عن طريق ابدال الملفات باستخدام برنامج IRC ( Internet Relay Chat ) وعن طريق الاتصال المباشر للكمبيوترات المربوطة في الشبكة الواحدة.

خبراء المضادات الفايروسية في جميع انحاء العالم ذهلوا لسرعة انتشار هذا الفايروس. وحسب تصريح Mikko Hypponen وهو الخبير المختص في امنيات الكمبيوتر في شركة F-secure, انه اثناء عمله لمدة تسع سنوات في عمله هذا لم يصادف شيئاً سيئاً كفايروس احبك. وكما هو معروف فأن الفايروس اكتشف لاول مرة في النرويج وخلال اربع ساعات فقط تم التبليغ في انتشار الفايروس في اكثر من 20 بلداً, وهو مضاعف لسرعة انتشار فيروس Melissa في قمة ذروتهِ.

الفايروس هو من نوع مرادف لنوع دودة Pretty-Park ويرسل مع البريد الالكتروني على شكل ملف ملحق باسم ( love-letter-for-you-txt.vbs. ) ولضمان عدم الاصابة في الفايروس في الحال فوجب عدم قرأة الملف الملحق والغاء هذه الرسالة الالكترونية من دون فتحها ومعرفة محتواها. والفايروس ينتشر بصورة رئيسية عن طريق استخدام البرنامج البريدي Microsoft Outlook ولا يعرف على وجه التأكيد اذا كان ينتشر باستخدام البرامج البريدية الاخرى.

الاسواء من هذا قد حصل فالفايروس بداء بالتطفير الى عينات اخرى مقاربة للاصلية وعلى هذا المنهاج:



The original "I love you" virus

The "I like you a lot" virus

The "You're nice, but I just want to be friends" virus

The "Its not you, its me" virus

The "Look, it was just a date...don't get clingy" virus

The "Okay, I think its best if we don't have anymore contact" virus

The "It was late, I was drunk, you were easy" virus

The "Stop calling me, you unfeeling prick" virus

and finally,

The "That's it, I hate you and your stupid dog" virus

Plus:

The "No, I Ruullllyyyy Like You" Virus ... usually hits around midnight
The "You're Beawfullll ....." virus .... usually hits about 2am

The "Nothing has to happen. I just want to wake up with you in my arms"

virus

..... careful, it's a sly one.

The "You're OK but I was wondering if your friend is single" virus

The "Of course I'll phone you ... Now do you want me to call a cab for you?
العلاج ضد هذا الفايروس موجود على العنوان الاتي لكل من الشركتين McAfee و TrendMicro وكذلك لمستخدمي مضادات الفايروسات من شركة Norton احصلوا على التجديد باستخدام برنامجهم الذاتي التحديث Live Update والذي سوف يقوم اوتوماتيكياً بجلب النسخة الاخيرة منه. ومن الراغبين بالكشف عن الفايروسات في جهازه من دون امتلاك برنامج معين لاداء هذا الغرض, زورا شركة TrendMicro حيث وضعت برنامجها House Call لهذا الغرض وما عليك سوى الربط بواسطة الشبكة وعلى هذا العنوان housecall.antivirus.com .

حسب تصريح شركة McAfee فأن الفايروس يتصرف بهذه الطريقة بعد الاصابة:

في البدء يقوم الفايروس بارسال بريد الكتروني الى العناوين الخاصة والموجودة في برنامج ال Exchange والذي Outlook يعتبر جزء منه وبعدها يقوم الفايروس بارسال البريد الالكتروني الى العناوين العامة. ويقوم بعدها بتغيير صفحة البداية في المتصفح للشبكة Explorer, حيث يتم تغيير اسماء ومواقع المعلومات المسجلة في داخل بنية النوافذ وكألاتي

(i registry: HKCU\Software\Microsoft\Internet Explorer\Main\Start Page")

وبعدها يجلب الملف ("WIN-BUGSFIX.exe") من خادوم معين في الفلبين والذي سوف يبدأ بالتاثير عند تشغييل الجهاز من جديد ويقوم بتغيير صفحة البداية الى لا شئ فقط صفحة بيضاء. وهذه الملفات تكون موجودة في التسجيل الخاص بالنوافذ عند الاصابة

Windows\System\MSKernel32.vbs

Windows\Win32DLL.vbs

Windows\System\LOVE-LETTER-FOR-YOU.TXT.vbs
واذا كان برنامج mIRC منصوباً في الجهاز المصاب فأنه الملف LOVE-LETTER-FOR-YOU.TXT.vbs سوف يرسل نفسه الى الشبكة, وكذلك يقوم الفايروس بتغيير الملفات من نوع "js jse css wsh sct hta jpg jpeg" الى ملف .vbs وبالاضافة الى تغيير الملفات من نوع “ mp2, mp3 “ الى .vbs .

اذا كنت مهتماً بالمعلومات التقنية للفايروس فننصحك بقرأة الصفحة اللاحقة.

كما ذكرنا فأن الفايروس كتب باستخدام Visual Basic ******************s والتي تعمل بصورة جيدة لمحي الاشياء وتغييرها في بيئة النوافذ, اول شئ يقوم بتغييره الفايروس هو الغاء عامل الوقت من برمجة Visual Basic ******************s وكالاتي

HKEY_CURRENT_USER\Software\Microsoft\Windows ******************ing Host\Settings\Timeout
وهذه البرمجة تقوم بتكوين ملف من نوع Html باسم Love-Letter-For-You.htm وبعدها تقوم هذه الكتابة البرمجية بتكوين الاتي



( systemcatalog)\MSKernel32.vbs

(wincatalog)\Win32DLL.vbs

(systemcatalog)\Love-Letter-For-You.TXT.vbs

وبعدها تقوم باضافة هذه الجمل الى التسجيل الخاص بالنوافذ



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\MSKernel32",dirsystem&"\MSKernel32. vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices\Win32DLL",dirwin&"\Win32DLL .vbs

والتي سوف تجعل كلا من ال (systemkatalog)\MSKernel32.vbs ) بالعمل عند تشغيل الكمبيوتر من جديد كبرنامج عادي و (winkatalog)\Win32DLL.vbs) كبرنامج خدمي. وهذه الكتابات البرمجية تقوم بعدها بائجاد الموقع الافتراضي لانزال الملفات للمتصفح MSIE وفي حالة عدم وجودها تقوم بالافتراض لموقعها ك C:\ بينما في نوافذ 98 تقوم بمعرفة هذه المعلومات بواسطة ملف WinFAT32.exe وبعدها يتم جلب الملفات الضرورية من الشبكة ومن خوادم متعددة كال www.skyinet.net واسم الملف المجلوب "WIN-BUGSFIX.exe" كما نوهنا سابقاً. وعند تشغيل المتصفح مع صفحة البداية لهذا الملف فأنه يقوم بالبحث عن هذا الملف في الموقع الخاص بالملفات المجلوبة من الشبكة, ويتم وضع الجملة الاتية في التسجيل الخاص في النوافذ



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\WIN-BUGSFIX",downread&"\WIN-BUGSFIX.exe



( يمكنك مراجعة التسجيل الخاص بالنوافذ باستخدام الامر regedit من موقع Run في قائمة البدء من لوحة الادوات للنوافذ. مع التذكير من انه يجب ان يكون الشخص خبيراً في تقنية المعلومات قبل المغامرة بهذا الشئ)

هذه البرمجة تقوم بتغيير الصفحة الرئيسية في المتصفح بعد ذلك تقوم بارشفة كل الملفات الموجودة في ذلك الكمبيوتر, وفي حالة وجود ملفات من كلا النوعين .vbs و .vbe تقوم بالكتابة على هذه الملفات بالنسخ المتوفرة لهذه البرمجة والمتولدة نتيجة للاصابة بالفايروس. وتقوم كذلك بتغيير نهايات الملفات المنتهية بهذه الرموز .js, .css, .wsh, .sct eller .hta حيث تضاف اليها مقطع .vbs الى نهايتها كالملف “ foobar.js” والذي يعمل نسخة اضافية من هذا الملف ويسميه ب “foobar.js.vbs” والذي يحتوي على نفس المحتواة وبعدها تحذف النسخة الاصلية منه, وكما معروف فأن نظام النوافذ لا يظهر التسمية الجديدة لنهاية الملف ( extension ) ( بل لا يلاحظ على الملف اي شئ يذكر بعد التغيير لمستخدمي النوافذ ) وهكذا يبدأ الفايروس بالبحث عن الملفات الاخرى, وهنا يغير الملفات المنتهية ب .jpg و .jpeg حيث يستنسخ الملفات المنتهية الى ملف جديد ويضيف اليها الاضافة كمثال "foobar.jpeg" والذي هو ملف صورة الى ملف اخر بأسم "foobar.jpeg.vbs" ويحذف الملف الاصلي. وهكذا مع الملفات الاخرى. ومن الجدير بالذكر انه عند تحوير الملفات من نوع mp2 و mp3 فأن الفايروس يقوم بتعليم الملفات على اساس انها مخفية بالاضافة الى تغيير نهايتها, مع العلم ان هذه الملفات تستخدم لاغراض الكبس للملفات الصوتية.

في حالة عثور الفايروس على ملف mirc32.exe او mlink32.exe او mirc.ini او ******************.ini و mirc.hlp ( وهي المستخدمة في برنامج mIRC للدردشة عبر الشبكة العريضة ) فأنه يضيف تشفير خاص الى ملف ******************.ini بحيث يقوم هذا الاخير بارسال نسخة من ملف ذو نوع html الى الكمبيوترات المربوطة الى نفس قناة المخاطبة لتلك المجموعة. والكتابة في البرمجة ****************** سوف تضيف الى المقطع الاتي في تسجيل الكمبيوتر الذي استعمل لارسال هذا الملف الى الاخرين, وهنا يمكن ملاحظة الكمبيوترات المصابة والتي انتقلت العدوى اليها.



HKEY_CURRENT_USER\Software\Microsoft\WAB\


اذا رغبت بالتخلص من الفايروس يدوياً, اتبع الاتي:

اضغط على F3 مباشرة, للبحث عن الملفات المنتهية ب .vbs و .vbe واحذف كل هذه الملفات بالكامل, فهذه الملفات غير ضرورية لبرنامج السيطرة. ابحث عن ملف “LOVE-LETTER-FOR-YOU.htm” والموجود في systemcatalog واحذفه. افتح regedit وابحث عن هذه المفاتيح



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices\Win32DLL

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\WIN-BUGSFIX



واحذفها مباشرة. لاحظ انه هذه الملفات قد حذفت js, .css, .wsh, .sct, .hta, .jpg og .jpeg وملفات mp2, mp3 هي غير محذوفة بل مخفية فقط. ويمكنك عزيزي القارئ اعادتها الى هيئتها الطبيعية كالاتي: في البدء عليك تغيير تركيبة المحتويات للملفات حيث يمكنك من مشاهدة هذه الملفات, اذهب الى خصائص المكتبات واختار اظهر من ثم اختار اظهر جميع الملفات. بعدها استخدم الية البحث لائجاد كل الملفات المنتهية ب mp2,mp3 وعلم جميع هذه الملفات مرةً واحدةً واختر المحتويات والغي التلعيم او الاشارة حول مربع المخفي.



اذا كان لديك برنامج mIRC منصوباً افعل الاتي: افتح الملف ******************.ini واحذف الاسطر الاربعة الاتية:



******************ini.WriteLine "n0=on 1:JOIN:#:{"

******************ini.WriteLine "n1= /if ( $nick == $me ) { halt }"

******************ini.WriteLine "n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM"

******************ini.WriteLine "n3=}"



وهكذا تكون المشكلة قد حلت جزئياً, ومن المعروف ان المتهمين في نشر هذا الفايروس الذي قد كلف الكثيرين من الاموال ( كجهود ضائعة ) هم تسعة طلبة في احدى المدارس المختصة في تدريس علم الكمبيوتر والحاسوب في مانيلا عاصمة الفلبين.


الملك كاظم غير متواجد حالياً
رسالة لكل زوار منتديات العبير

عزيزي الزائر أتمنى انك استفدت من الموضوع و لكن من اجل منتدى ارقي و ارقي برجاء عدم نقل الموضوع و يمكنك التسجيل معنا و المشاركة معنا و النقاش في كافه المواضيع الجاده اذا رغبت في ذلك فانا لا ادعوك للتسجيل بل ادعوك للإبداع معنا . للتسجيل اضغظ هنا .

قديم 28-05-2005, 01:47 AM   #2

الصورة الرمزية عبد الله الساهر

 رقم العضوية :  1
 تاريخ التسجيل :  22-07-2004
 المشاركات :  71,207
 الدولة :  ムレ3乃乇乇尺
 الجـنـس :  ذكر
 العمر :  38
 عدد النقاط :  243859
 قوة التقييم :  عبد الله الساهر تم تعطيل التقييم
 SMS :

حتى لو اجتهدت و قطعت فؤادك.. ووضعته للناس في طبق فضي ليرضوا عنك لن تفلح وربما لن تصل لمستوى يرضيك أنت عن نفسك فاجتهد ليكون الله وحده راضياً عنك وأغمض عينيك عن ما سواه

 اخر مواضيع » عبد الله الساهر
 تفاصيل مشاركات » عبد الله الساهر
 أوسمة و جوائز » عبد الله الساهر
 معلومات الاتصال بـ عبد الله الساهر

افتراضي


الله يعطيك العافية


ويجزيك خير على التنبية

توقيع :





رحمك الله يا أنس
وجعل الفردوس دارك ومستقرك



عبد الله الساهر غير متواجد حالياً
قديم 03-06-2005, 07:01 AM   #3

الصورة الرمزية أمـ جود ـ

 رقم العضوية :  4
 تاريخ التسجيل :  22-07-2004
 المشاركات :  6,182
 العمر :  36
 عدد النقاط :  32
 قوة التقييم :  أمـ جود ـ is on a distinguished road
 اخر مواضيع » أمـ جود ـ
 تفاصيل مشاركات » أمـ جود ـ
 أوسمة و جوائز » أمـ جود ـ
 معلومات الاتصال بـ أمـ جود ـ

افتراضي


يسلموا الايادي ملك المنتدى

توقيع :



مٍَآعُآدُ يًرٍضَيًنٍيً وَفٍآ...و لآيًزٍعُلنٍيً جََفٍآ..
مٍَتِسِآويًهُـ َفٍيً خٍآطَرٍيً ..ظِلمٍَـ آلبُشُرٍ وآنٍصِآَفٍهُمٍَـ..
ولو تِوَقٍَِفٍ آلدُنٍيًآ عُلىٍ شُمٍَعُ آلغٌَرٍآمٍَـ آلليً طََفٍآ..
بُعُضَ آلشُمٍَوعُ..أنٍآ أتِعُمٍَدُ گسِرٍهُآ وآتِلآَفٍهُآ..

أمـ جود ـ غير متواجد حالياً
موضوع مغلق

مواقع النشر (المفضلة)


أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة



الساعة الآن 05:47 AM


Powered by vBulletin® Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Content Relevant URLs by vBSEO 3.6.0 TranZ By Almuhajir
Ads Organizer 3.0.3 by Analytics - Distance Education
جميع الحقوق محفوظة لـ : منتديات العبير
المحتوى المنشور فى موقع العبير لايعبر بالضرورة عن وجهة نظر الإدارة وإنما يعبر عن وجهة نظر كاتبها