xx_xfahadx_xx
18-08-2003, 09:19 PM
اسم الفايروس: W32.Blaster
حجمه : 6,176 bytes
الانظمة المتضرره : ويندوز 2000 , ويندوز اكس بي
نبذه عن كيفية دخول الفايروس الى جهازك وعمله :
الفايروس يقوم بإقتحام جهازك عن طريق البورت
TCP Port 135, "DCOM RPC" & UDP Port 69, " TFTP"
ويطبق ثغرة DCOM RPC و يقوم بإظافة قيم في الريجستري وهي كالتالي :
"windows auto update"="msblast.exe"
للمسار التالي :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
طريقة عمل الفايروس هو انه مع كل اعادة تشغيل للجهاز يعيد الفايروس تشغيل نفسه ويرسل
بيانات للمنفذ 135 لتطبيق ثغرة DCOM RPC ويقوم الفايروس او(worm) بإستغلال جهازك لعمل DDoS على موقع تحديث مايكروسوفت
http://windowsupdate.microsoft.com
تاثيرة على النظام :
بالنسبه للويندوز الاكس بي : يظهر لك رسالة خطاء
"windows must restart because the
Remote Procedure Call (RPC) service terminated unexpectedly" .
ويقوم باعادة تشغيل الجهاز بعد اتمام الاتصال بالانترنت ..
وبالنسبة لويندوز 2000 : يظهر لك رساله خطأ في الخدمه svchost.exe ويتوقف التصفح ويكون الجهاز بطيء نسبيا
طريقة الحماية من الفايروس :
القيام بعملية تحديث للويندوز وتثبيت الباتش الخاصه بهذه الثغره وهي كالتالي :
ويندوز اكس بي :
اضغط على الوصلة التالية
http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&displaylang=en
الويندوز 2000:
اضغط هنا
http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&displaylang=en
وتحديث الانتي فايرس #اما الاجهزه المصابة بالفايروس فهناك طريقة للتخلص منه وتعطيله مؤقتا حتى يتم تحديث الانتي فايروس او النظام وهي كالتالي :
Windows 2000, XP
-1 اضغط CTRL+ALT+DEL
-2 اضغط على Task Manager
3- بعدين اضغط على Processes
-4 بعدين ابحث عن ملف اسمه msblast.exe
-5 اذا حصلته ظلله بعدين اضغط على End Process
بعدها قم بالضغط على Ok وبهذا الشكل تكون قد اوقفت عمل الفايروس وتخلصت من عملية اعادة التشغيل عند اتمام عملية الاتصال بالانترنت. الخطوة التالية هي الاتصال بالإنترنت وتحديث الانتي فايروس Latest Update بعد ذلك سيتم
إزالة الفايروس نهائيا من الجهاز إن شاء الله.
وهناك طريقتين اضافيتين لإيقاف عمل الفايروس احدها اذا كان الجهاز يحوي جدار حماية
Firewall يجب القيام بعملية اغلاق البورتات 135 TCP, 69 UDP, 4444 TCP
والطريقة الثانية هي استخدام اداة خاصه لازالة الفايروس اصدرتها شركة سايمانتك(نورتون)
للمستخدمين الذين ليس لديهم نورتن او لا تحوي اجهزتهم برنامج مضاد فيروسات وبإمكانك القيام بهذه الخطوة حتى بتوفر برنامج حماية على جهازك
http://securityresponse.symantec.com/avcenter/FixBlast.exe
طريقة الاستخدام
1- يجب اولا ان تقوم بإغلاق جميع البرامج والتطبيقات التي تعمل في جهازك.
2- بعد القيام بتحميل وحفظ الملف على جهازك انقر عليه مرتين لتشغيله
3- اضغط على زر start لكي يبدأ بتشغيل الاداة وحذف الفايروس
4- اعد تشغيل الجهاز ثم اعد تشغيل اداة ازالة الفايروس لتتأكد من حذفه نهائياً.
حجمه : 6,176 bytes
الانظمة المتضرره : ويندوز 2000 , ويندوز اكس بي
نبذه عن كيفية دخول الفايروس الى جهازك وعمله :
الفايروس يقوم بإقتحام جهازك عن طريق البورت
TCP Port 135, "DCOM RPC" & UDP Port 69, " TFTP"
ويطبق ثغرة DCOM RPC و يقوم بإظافة قيم في الريجستري وهي كالتالي :
"windows auto update"="msblast.exe"
للمسار التالي :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
طريقة عمل الفايروس هو انه مع كل اعادة تشغيل للجهاز يعيد الفايروس تشغيل نفسه ويرسل
بيانات للمنفذ 135 لتطبيق ثغرة DCOM RPC ويقوم الفايروس او(worm) بإستغلال جهازك لعمل DDoS على موقع تحديث مايكروسوفت
http://windowsupdate.microsoft.com
تاثيرة على النظام :
بالنسبه للويندوز الاكس بي : يظهر لك رسالة خطاء
"windows must restart because the
Remote Procedure Call (RPC) service terminated unexpectedly" .
ويقوم باعادة تشغيل الجهاز بعد اتمام الاتصال بالانترنت ..
وبالنسبة لويندوز 2000 : يظهر لك رساله خطأ في الخدمه svchost.exe ويتوقف التصفح ويكون الجهاز بطيء نسبيا
طريقة الحماية من الفايروس :
القيام بعملية تحديث للويندوز وتثبيت الباتش الخاصه بهذه الثغره وهي كالتالي :
ويندوز اكس بي :
اضغط على الوصلة التالية
http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&displaylang=en
الويندوز 2000:
اضغط هنا
http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&displaylang=en
وتحديث الانتي فايرس #اما الاجهزه المصابة بالفايروس فهناك طريقة للتخلص منه وتعطيله مؤقتا حتى يتم تحديث الانتي فايروس او النظام وهي كالتالي :
Windows 2000, XP
-1 اضغط CTRL+ALT+DEL
-2 اضغط على Task Manager
3- بعدين اضغط على Processes
-4 بعدين ابحث عن ملف اسمه msblast.exe
-5 اذا حصلته ظلله بعدين اضغط على End Process
بعدها قم بالضغط على Ok وبهذا الشكل تكون قد اوقفت عمل الفايروس وتخلصت من عملية اعادة التشغيل عند اتمام عملية الاتصال بالانترنت. الخطوة التالية هي الاتصال بالإنترنت وتحديث الانتي فايروس Latest Update بعد ذلك سيتم
إزالة الفايروس نهائيا من الجهاز إن شاء الله.
وهناك طريقتين اضافيتين لإيقاف عمل الفايروس احدها اذا كان الجهاز يحوي جدار حماية
Firewall يجب القيام بعملية اغلاق البورتات 135 TCP, 69 UDP, 4444 TCP
والطريقة الثانية هي استخدام اداة خاصه لازالة الفايروس اصدرتها شركة سايمانتك(نورتون)
للمستخدمين الذين ليس لديهم نورتن او لا تحوي اجهزتهم برنامج مضاد فيروسات وبإمكانك القيام بهذه الخطوة حتى بتوفر برنامج حماية على جهازك
http://securityresponse.symantec.com/avcenter/FixBlast.exe
طريقة الاستخدام
1- يجب اولا ان تقوم بإغلاق جميع البرامج والتطبيقات التي تعمل في جهازك.
2- بعد القيام بتحميل وحفظ الملف على جهازك انقر عليه مرتين لتشغيله
3- اضغط على زر start لكي يبدأ بتشغيل الاداة وحذف الفايروس
4- اعد تشغيل الجهاز ثم اعد تشغيل اداة ازالة الفايروس لتتأكد من حذفه نهائياً.