طرق الإصابه و الإزاله لبعض الفيروسات

سبق و أنزلت موضوع عن الفرق بين التروجان و الدوده و الفيروس


و الآن يسعدني أن أكتب لكم بعض الفيروسات و كيفية إزالتها






قمة الذاكرة ، وعندما يستقر في الذاكرة يقوم بإصابة كل قرص


يوضع في مشغل الاقراص المرن ، يقوم الفيروس


بنسخ نسخة عن سجل ( MBR ) في قطاع آخر .


وبعد ثلاثة أشهر من اصابة الجهاز به يقوم بإظهار النص التالي :


RAVaye is Wiping data ! RP MuRphy


ثم يقوم بعد ذلك بإعادة كتابة قطاعات من القرص الصلب ...


الحل عند الاصابة :


1- إستخدام برنامج مكافحة الفيروسات .


2- إستخدام الــ ( F DISK MBR )


فإذا ما أصاب الفيروس سجل التشغيل الرئيسي ( MBR )


ينبغي استخدام الامر التالي في واجهة ( Dos ) :


Eg:a\<fdisk/mbr ) fdisk/mbr )


الدودة win32.Eyeveg.g


هذه النسخة الجديدة من دودة ( Eyeveg ) تتوزع عن طريق


إرسالها بالبريد الالكتروني ، ويكون الملف الذي يحتوي


عليها من نوع ( zip ) ويبلغ حجمه 76 كيلوبايت ..


تختلف النسخة الجديدة عن النسخة السابقة بشكل طفيف ،


ولكنها كالدودة السابقة ، تقوم بتعطيل الجدار الناري لــ


windows xp كذلك فانها تعمل عمل التنصت على لوحة


المفاتيح وتجمع تفاصيل الملفات المشتركة وكلمات المرور


المخزنة في متصفح الانترنت وكلمات المرور للبريد الالكتروني


والمعلومات الاخرى السرية ، ثم تبعث بكل ذلك من


خلال الانترنت إلى المواقع ....



دودة W32. Feebs. E @ mm


تاريخ الكشف : 12- يناير ( كانون الثاني ) - 2006


الوصف : دودة تقوم بإرسال عدد هائل من الرسائل كما أنها


تنتشر من خلال شبكات تبادل الملفات وتخفض من


إعدادت الامن والحماية في الكمبيوتر المصاب ..


مستوى الخطورة : عادي


التوزيع الجغرافي : منخفض


العلاج : سهل


الازالة : صعبة بعض الشيء


طرق الازالة : قم بتعطيل ميزة إستعادة النظام ( windows Me


- windwos xp ) ثم قم بتحديث تعريفات الملفات ، ثم


إمسح كل النظام بواسطة برنامج مكافحة الفيروسات وامح كل


الملفات المصابة ، وامح أية قيم مضافة إلى سجل


النظام ، ثم قم بتمكين خدمة المدخل المشترك shared


access


مرة أخرى لـــ windows me - windows xp فقط ..



التروجان Trojan.Tabela.D


تاريخ الكشف : 14- يناير ( كانون الثاني ) - 2006


الوصف : من نوع حصان طروادة ( تروجان ) يقوم بسرقة عناوين البريد


الالكتروني من الكمبيوتر المصاب ، ثم يقوم


بإرسال العناوين المسروقة إلى موقع ( gaby photo.com ) عن طريق


منفذ HTTP ..


طوله : 5118 بايتا ..


نظام التشغيل : كافة إصدارات ويندوز ...


التوزيع الجغرافي : منخفض


علاجه : سهل


إزالته : سهلة


طريقة الازالة : قم بتعطيل ميزة إستعادة النظام ( windows Me - windows xp ) ثم حدث تعريفات الفيروسات ،


وافحص النظام كاملا بواسطة برنامج مكافحة الفيروسات وامح كل


الملفات المصابة ، ثم امح كل القيم المضافة


لسجل النظام ...


يتبع ........

التروجان PSW.Win32pd pinch.gen


له أسماء أخرى مثل : Troj-PDPINCH.GEN


هذه العائلة من برامج التروجان تقوم بسرقة المعلومات السرية من جهاز الضحية بما فيها الملفات التي تتضمن


معلومات الاعدادات التي تحوي على كلمات مرور ..


ومع أن كلمات المرور عادة ما يتم حفظها مشفرة ، إلا أن التشفير


المستخدم ضعيف جدا ..


ويتم إنشاء ملف مؤقت أسمه ( C:lovt.bin ) ثم يتم فك تشفير كل


المعلومات التي تم الحصول عليها وإعادة تشفيرها


مرة أخرى . ثم يتم إرسال الملف الذي يحتوي على هذه المعلومات


إلى : (elkapalka23@mail.ru) ويكون موضوع


الرسالة : Passes from pinch


التروجان ( Downloader.VBS.PSYme.ap )


من أسمائه الاخرى : VBS-PSYME.AP- download Trojan-


VBS/Pstme


يستغل هذا التروجان خللا في أمن وحماية متصفح الانترنت ليقوم بتفعيل برامج تروجان أخرى على جهاز الضحية ..


التروجان مصمم على شكل صفحة HTML ، وعندما يتم تصفحها يتم


تنفيذ برنامج ضار مكتوب بلغة (visual basic ) و


يبلغ 3 كيلوبايت ...


بعد ذلك يقوم التروجان بنسخ نفسه على قائمة النظام تحت اسم


q123.vbs
ويمكن أن يوقف تنفيذ العملية التالية :


outlook.exe-DRWEB.exe ، بعد ذلك يستغل الخلل الموجود في


متصفح الانترنت ليقوم بتنزيل برامج تروجان تنفيذية


والتي يتم ضغطها في قائمة النظام على شكل sm.exe وبعد ذلك


تفعيلها ...

فيروس BAT. Looper

فيروس BAT يعتبر من فيروسات الأكواد الخطيرة جدا. وتمت كتابته على رقعة خلف Dos، ويصل حجم الملف الى 65 بايت، وعند تحميله تبدأ بالبحث عن ملف ينتهي ب”ba2” في المجلد المحلي وعلى ملف “b2t” في المجلد الاصلي. وعلى ملفات (2.*) من القرص الصلب :C، ويقوم هذا الفيروس بكتابة كوده الخاص في الملفات المتضررة، وبهذه الطريقة فهي تمسح المحتوى الاصلي، ولا يظهر الفيروس وجوده بأي حال من الأحوال.


دودة
M - Worm. OSX. Leap.a

تم اكتشافها في 23 فبراير ،2006 وهذه الدودة تستهدف “الرسائل الفورية” وتقوم بالانتقال الى الكمبيوترات التي تعمل بنظام Mac OSX كما أن لديها امكانية التأثير في تطبيقات MacOSX ولكن بسبب خلل في برنامج الدودة فإن البرامج المتضررة لن تعمل مجددا.

وتستخدم هذه الدودة تطبيقات الرسائل الفردية من Apple للانتشار عبر “Ichat” ودخولها وحولها، الى جهاز الضحية تقوم بتحميل برنامج التشغيل الخاص بها تلقائيا من موقع عبر الانترنت.



تروجان

Symbos. Skuller. gen

يستهدف هذا النوع من التروجان اجهزة الهاتف المتحرك وتقع الملفات المكتشفة لهذا التروجان في مجموعتين مختلفتين:

المجموعة الأولى: وهي المجموعة الشائعة والتي تضم التطبيقات التالفة والفارغة، حيث يقوم Skuller باستبدال تطبيقات الانظمة بهذه الملفات مما يؤدي الى خراب الهاتف المتحرك.

المجموعة الثانية: تتضمن مجموعة وعدداً من البرامج المستخدمة لاعادة تشغيل الهاتف المتحرك. وهذه البرامج كلها برامج متنوعة من نفس تروجان Skuller وربما يقوم التروجان بتثبيت البرنامج ليعمل تلقائياً مما يؤدي الى اقفال الهاتف بشكل متكرر.


الدودة Linux.mare

للاتصال من الباب الخلفي

- تاريخ الاكتشاف: 24 ديسمبر/ كانون الأول 2005

- النوع: دودة

- النظام المستهدف: لينوكس

- مقدار الخطورة: عدد الاصابات: 0 49

- عددالمواقع: 0 2

- التوزيع الجغرافي: منخفض

- تطويقه: سهل

- إزالته: سهلة

تنتشر هذه الدورة من خلال استغلال الخلل الموجود في ملف “PHP - Nuke” في نظام “لينوكس” وتقوم الدودة التي تمتلك القدرة على اقامة اتصال من باب خلفي، بتنزيل وتنفيذ ملفات خارجية على الكمبيوتر المصاب.

- تعليمات الازالة:

اذا قام برنامج “سيمانتيك” باكتشاف الدودة قم بحذف الملفات المصابة، واذا لم تكن متأكداً من عدم احداث الدودة لتغييرات في النظام فمن الجيد اعادة تنصيب نظام التشغيل من جديد.


التروجان SMS, JZME, Red Browser

يستهدف هذا التروجان الهواتف المحمولة التي تعمل وينتشر هذا التروجان من خلال برنامج يطلق عليه اسم “Red Browser”، والذي يزعم ان من خلاله يمكن استخدام خدمة “الواب” مجانا كما يمكن باستخدامه ارسال واستلام رسائل مجانية، لكن في الواقع فإن هذا التروجان يرسل رسائل الى مجموعة معينة من الارقام تتراوح تكلفة الرسالة اليها بين 5 و6 دولارات، وهذا التروجان هو من تطبيقات “جافا” ويطلق عليه ايضا اسم redbrowser,jar ويمكن تحميل هذا التروجان الى هاتف الضحية إما من خلال الانترنت أو البلوتوث أو الكمبيوتر الشخصي ويمكن التخلص من هذا التروجان باستخدام خاصية تثبيت وحذف البرامج التقليدية المستخدمة في اجهزة المحمول.



الدودة Win 32, Zaurga,a

تعرف هذه الدودة بأسماء أخرى منها: w32.Silly FDC و 9Trojan,KillFiles.7 وTROJ - ZAURGA.A وWarm/Zaurga.A وWin32. Worm. Zaurga.aالمواصفات التقنية:

وتقوم هذه الدودة بالتطور من خلال نسخ جسدها على الاقراص المرنة في برامج “وورد”، وهي عبارة عن ملف تنفيذي، يصل حجمها الى 65042 بت.

“طريقة العمل”:

تقوم هذه الدودة بنسخ نفسها في مجلد أنظمة ويندوز على شكل ملف 1h. exe

* System* /1fh,exe

ومن ثم يتم اطلاقه للعمل، وللتأكد من ان الملف سيعمل عند اعادة تشغيل الضحية للجهاز، تضيف هذه الدودة رابطاً الى تسجيل نظام ويندوز.

التروجان

Downloader. win 32, Small. axa

يعرف هذا التروجان باسم Download, Trojan و Trojan.click.520 ، وTrojan, Downloader, Small -518، وAdware/Startpage.yg ويعمل هذا التروجان على تحميل برامج من الانترنت من دون معرفة المستخدم، وهذا التروجان عبارة عن برنامج تنفيذي خاص بويندوز PE، ويصل حجمه الى 4128 بت، ويستخدم تغليف UPX، وعند تحميل التروجان، يقوم بخلق ملف باسم Sysinit 32m.exe في مجلد نظام ويندوز * System#/Sysinit32m.exe ويقوم بعد ذلك بترقية نفسه بنفسه بالاضافة الى تحميل برامج تروجان اخرى، من http://cxxa X.Com/ru، ويقوم بتخزين تلك البرامج على جهاز الضحية ومن ثم تفعيلها.


فيروس الازالة

يعد فيروس Wisconsin.815.a من الانواع الخطيرة ولا يسكن خلايا الذاكرة في اجهزة الكمبيوتر، ويقوم هذا الفيروس بنسخ نفسه في بدايات ملفات com. للمجلدات المحلية.

ثم يقوم بخلق عداد في الملفات المصابة ومع كل دخول الى هذه الملفات فإن حجم هذا الفيروس يزداد.

وبعد الدخول الرابع الى الملف يعطي الفيروس رسالة مضمونها “Death of Pascal” ويقوم بمسح الملف بالكامل.


تروجان إغلاق الملفات

اسمه بالكامل: Trajan.Win32.KillAV.gi هذا التروجان من نوع ملفات ويندوز PEEXE بحجم 61440 بايت.

وعند انطلاقه تظهر الرسالة التالية على شاشة الكمبيوتر: Scaning for root kit.

ثم يقوم بخلق ملف تحت اسم Update.bat في مجلد الدخول في C:lupdate.bat.

ومن ثم يقوم بإقفال العديد من الملفات الفعالة ذات مساقات متنوعة.

ومن ثم يقوم بتسجيل نفسه في نظام التسجيل، مما يؤكد انه سيتم تشغيله في كل مرة يتم فيها الدخول الى ويندوز في الجهاز المصاب.

التروجان المخادع

الاسم بالكامل: Trojan-Spy.HTML.Bank fraud.uk

يعرف هذا التروجان ايضا باسم: HTML.Phishing.pay-17(clamAV)

يستخدم هذا التروجان تكنولوجيا الخداع من خلال صحفات HTML خادعة، صممت خصيصا لسرقة معلومات سرية من عملاء بنك “فيفت ثيرد بانك”.

وينتقل هذا الفيروس من خلال البريد الالكتروني بهيئة اعلان مهم من البنك.

ويحتوي البريد الالكتروني على رابط مخادع، في حال قام المستخدم بإدخال معلوماته الشخصية.

فسترسل جميع معلوماته الى مستخدم آخر وستكون بيده كل المعلومات الخاصة بالضحية.
ram

دورة متخصصة في البريد الالكتروني

الأنظمة المتأثرة: ويندوز xp, server2003, NT, me, 98, 95, 2000.

تاريخ الاكتشاف: 11 ابريل 2006.

الانتشار الجغرافي: منخفض

التفاصيل التقنية: غير متوفرة حالياً وتعمل شركات مكافحة الفيروسات على الحصول على معلومات أكثر حول هذا التهديد الجديد.


Pwsteal. Marlap.c

حصان طروادة يقوم بسرقة المعلومات الحساسة وإرسالها إلى موقع الهاكر على الانترنت.

الأنظمة المتأثرة: ويندوز xp, server2003, NT, me, 98, 95, 2000.

تاريخ الاكتشاف: 11 ابريل 2006

حجم الانتشار الجغرافي: منخفض.


Trojan. Qhosts.c

هذا الملف الضار عبارة عن حصان طروادة يقوم بتعديل الملفات المستضيفة بهدف إعادة تحويل مستخدمي الانترنت إلى عناوين IP خاطئة.

الأنظمة المتأثرة: ويندوز xp, server2003, NT, me, 98, 95, 2000.

الانتشار الجغرافي: منخفض

التفاصيل التقنية:

ينتقل هذا الملف من خلال الانترنت على هيئة ملف ملحق تحت اسم Payment_Option.exe وعند تشغيل الملف يبدأ بعمل التالي:

1 يستعرض صفحة انترنت تشبه إلى حد كبير الواجهة الرئيسية لموقع ebay.

2 يضيف المدخلات التالية إلى ملفات الاستضافة في محاولة لتحويل المستخدمين إلى عناوين مغايرة:

-221.231.138.109: escrow.com

- 221.231.139.109:www.escrow.com

- 207.56.96.131: imgs.epc

Colecto

النوع: حصان طروادة.

الأنظمة المتضررة: ويندوز ،2000 ،95 ،98 me، nt، Seruer 2003، Xp، تم اكتشافه في 17 ابريل/ نيسان 2006.

الانتشار الجغرافي: منخفض.

نوع الضرر: سرقة المعلومات، من خلال ارسالها الى عنوان بروتوكول انترنت بعيد.

وعند دخوله الى الجهاز يقوم بجمع معلومات عن:

البريد الالكتروني

تاريخ زيارة مواقع الانترنت.

معلومات متصفح الانترنت، مثل الصفحة الرئيسية، وصفحة البحث الأساسية ومحتويات ملفات المساعدة.

معلومات العتاد.

البرامج المثبتة.

معلومات نظام التشغيل.

معلومات الشبكة.

ومن ثم يقوم هذا الملف الضار بارسال هذه المعلومات الى عنوان Ip 62,4,84,161 من خلال HTTP.

لتروجان Js. Seeker-based


رصد هذا الفيروس في 19 ابريل/ نيسان وهو من نوع التروجان حيث يحدد صفحة التروجان حيث يحدد صفحة انترنت اكسبلورار الرئيسية ويضيف حلقات ربط جديدة الى قائمة “المفضلة” من دون علم المستخدم.

وكتب التروجان بلغة جاف حيث يضع مستندات هايبر تكت على مواقع الشبكة وفي البريد الالكتروني، ولا ينشط إلا على المستعرضات المتوافقة مع جافاسكريبت.

ويحدد التروجان مفاتيح التسجيل في النظم التالية:

HKCU/Software/microsoft/ internet Explaer Main

HKLM/ Software/ microsotl Explorer main/ start page

كما ينشئ التروجان الجديد اختصارات مع اسماء النطاقات URLs في الاتجاهات التالية:

%Documets and settings/ All users/ fovarites

%Documets and settings/ All users/staf Meru


متعدد النسخ “Win32. Mytob.eg”

يحمل مايتوب مواصفات دودة البريد الالكتروني فقط ووظائف IRCBot وكانت أحدث ترقية له قد رصدت في 18 ابريل/ نيسان 2006 وتبلغ سعة ملفاته 123392 بايتس.

وينسخ الفيروس نفسه الى صيغ Sysdir ويسجل نفسه ضد صيغ دخول محدة بحيث يتكرر كلما أقلع نظام التشغيل ويندوز، وهذه الصيغ هي

HKEY-Local- Machine/ Microsot/ Windows/ Carrent Version/ Run

وترسل الدودة نسخاً منها الى عناوين البريد الالكتروني المستمدة من حلقات نهاياتها كالآتي:

htmb - shtl - jspl - cgil - Xmls - Phpq - dbxn


التروجان “Win32. Small.asa”


تم رصد هذا التروجان في 14 ابريل/ نيسان وهو من فصيلة حاملة الفيروسات حيث يحمل الملفات من الانترنت من دون علم المستخدم أو موافقته.

ويبلغ حجم التروجان نفسه كملف ويندوز PEEXE 4741 بايت مكتوبة بلغات سي بلاس بلاس ومغلف بصيغ FSG. أما الملف المكشوف فيبلغ حجمه 57 كيلوبايت.

وعند اطلاقه ينسخ التروجان نفسه على نظام ويندوز مباشرة كملف exe خاص Systen priva. exe

ثم يعمل على تسجيل هذا الملف في سجل النظام لضمان اطلاقه كلما أعيد اقلاع ويندوز في الجهاز المصاب به.

ويجري التروجان كل ساعة العملية التالية في نافذة مخفية ،،كما يمكن تنزيل ملفات أخرى من الانترنت ونشرها على الكمبيوتر المصاب.




تمنياتي للجميع بالاستفاده ،،،

تم تجميعه ونقله




طبعا لا بد من السرقه في مثل هذي المواضيع