PDA

عرض كامل الموضوع : فايروس جديد Netsky_D



fido_dido
30-03-2004, 06:20 PM
اكتشفت خلال مارس من هذا العام 2004م دودتان وقد صنفتا على أنهما من النوع الخطر جداً، إذ أصدر موقع Panda المتخصص في البرامج المضادة للفيروسات إنذارين باللون الأحمر وهو المصاحب للتحذير من الفيروسات الخطرة، الأولى دودة Netsky-D وأن هذه الدودة تنتقل بسرعة رهيبة عبر رسائل البريد الإلكتروني إذ تأخذ نفس أساليب الديدان بالانتشار فتلحق نفسها برسائل ترسل من بريد الضحية إلى جميع العناوين المسجلة بدفتر العناوين، والرسالة المفخخة بهذه الدودة عادة تحمل أحد العناوين الجذابة، كأن يكون على صيغة موافقة أو الرد على رسالة تحمل تفاصيل أو مستندات أو ملف إكسل أو يوهمك بأن هذه الرسالة تحمل صوراً لك وما إلى ذلك. لكن ما يميز هذا النوع أنها كلها على صيغة جواب على رسالة إذ يسبق عنوان الرسالة بأول حرفين من Reply كأن يكون :
Re: Approved أما الملف المرفق والذي يحمل الدودة فسيظهر بالامتداد pif أو ملف مضغوط بداخله ملف بالامتداد السابق ولا تقتصر طريقة الانتقال على البريد الإلكتروني بل قد تنتقل أيضاً عن طريق شبكات العمل إن لم تكن هناك حماية وقائية. أما من حيث أنظمة التشغيل المستهدفة فجميع أنظمة ويندوز معرضة للإصابة بهذه الدودة.
الدودة الثانية Bagle.J وهي نسخة معدلة ومطورة عن إصدارات سابقة "كما يظهر من الحرف الهجائي"، وتنتشر بإرسال نفسها من البريد المصاب إلى جميع العناوين المسجلة بدفتر العناوين، وتقوم بدور العميل السري إذ تفتح المنفذ رقم 2745وتشعر مالك الشفرة بأنه يستطيع الاتصال بالجهاز المصاب والدخول عبر هذا المنفذ. والرسالة المفخخة بهذه الدودة تكون بعنوان تحذير أمني لحساب البريد الإلكتروني، أو تنبيه هام أو شيء من هذا القبيل، ويرفق بالرسالة ملف مضغوط باسم مرفق أو مستند، اقرأني، معلومات، أو معلومات أكثر. وللوقاية من الإصابة بهذين النوعين وغيرهما علينا أن نكون أكثر حذراً عند التعامل مع الرسائل الواردة، وأن نقوم بحذف أي رسائل تحمل مرفقات كما يتوجب علينا أن نقوم بفحص هذه المرفقات قبل تحميلها بعرضها على نظام الفحص المتوفر لدى مزود البريد حتى وإن كانت من أحد الأصدقاء، فكما أسلفنا أن هذه الديدان ترسل نفسها إلى جميع العناوين المسجلة لدى الشخص الذي تعرض جهازه للإصابة. وعند الشك بأن الجهاز قد تعرض للإصابة فيمكن الاستعانة بأداة الإزالة التالية التي تحدث تلقائياً عن طريق الشركة المنتجة عند ظهور أي فيروس جديد :
www.ma3refah.org/protection/ac
وأيضاً علينا أن نحرص على استخدام أحد برامج الحماية القوية وفيما يلي مواقع يمكن من خلالها الحصول على برامج حماية مجاناً:
www.grisoft.com
www.avast.com
www.free-av.com
وأن نتأكد من أنها تقوم بالتحديث الذاتي بشكل مستمر، فمن دون تحديث تصبح عديمة الفائدة في ظل التطور المستمر والتزايد المضطرد للفيروسات. كما يتوجب علينا أن نحذف أي رسالة تضم مرفق ينتهي بالامتداد pif



وهذا تقرير كامل عن هذه الدودة اتمنى لكم الفائدة

ـــــــــــــــــــــــــــــــــ

تقرير عن انتشار فيروس W32.Netsky.D@mm الجديد
بسم الله الرحمن الرحيم

تقرير عن انتشار فيروس W32.Netsky.D@mm الجديد بالغ الخطورة :
- كاتب التقرير : Neal Hindocha من شركة سيمانتيك
- ترجمة : نادر عبدالهادي القحطاني / عمليات الحاسب الآلي
- بريد الكتروني nalkahtani@hotmail.com
انطلق فيروس W32.Netsky.D@mm الجديد عالي الخطورة على الشبكة العالمية الإنترنت لأول مرة بتاريخ 1 مارس 2004 م وقد كان آخر تحديث له بتاريخ 12 مارس 2004 م فيرجى أخذ الحيطة و الحذر من مرفقات الرسائل الملوثة بهذا الفيروس والتي قد تسبب الاذى لملفات جهاز المستخدم مما يؤدي بالتالي إلى هدر الوقت واضاعة الجهد ويؤدي كذلك إلي الانتاجية القليلة في العمل وخاصة اذا كان العمل يتطلب استخدام الحاسب الآلي .

الانظمة المعرضة للإصابة به : Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP
الأنظمة الآمنة من الاصابة به : Linux, Macintosh, UNIX, Windows 3.x
مدى التلوث : 17.424 بايت
الاسماء المشهورة له :
WORM_NETSKY.D [Trend], W32/Netsky.d@MM [McAfee], W32/Netsky.D.worm [Panda], W32/Netsky-D [Sophos], Win32.Netsky.D [Computer Associates], I-Worm.Netsky.d [Kaspersky]

تقييم التهديد :
مستوى التهديد : عالي
عدد الاصابات : اكثر من 1000 جهاز حتى ترجمة هذا التقرير
عدد المواقع المصابة : اكثر من 10
الانتشار الجغرافي : منخفض
مستوى احتواء التهديد : سهل
مستوى الخبرة المطلوبة لازالته : متوسطة
الأثر التدميري : منخفض
الانتشار : عالي
عنوان البريد : متغير
التفاصيل التقنية :
عند تحميل المرفقات بالرسالة المصابة او عند تشغيل هذا الفيروس W32.Netsky.D@mm فإنه يقوم بالتالي :
1.يقوم بإنشاء mutex والتي تقوم بالسماح لحالة واحدة فقط من هذا الفيروس لكي يشتغل .
2.يقوم بنسخ نفسه باسم winlogon.exe وذلك في مجلد تنصيب الوندوز (قد يكون c:windows او c:winnt ....الخ)
3.يذهب إلي مفتاح السجل التالي :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr
entVersionRun
ثم يضيف القيمة التالية :
"ICQ Net" = "%Windir%winlogon.exe -stealth"
وذلك لكي يشتغل هذا الفيروس في كل مرة تقوم بتشغيل الجهاز .
4.ثم ينتقل إلي مفتاحي السجل التاليين :
· HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCu
rrentVersionRun
· HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCur
rentVersionRun
وذلك لكي يقوم بحذف القيم التالية :
· Taskmon
· Explorer
· Windows Services Host
· KasperskyAV

5.ينتقل بعدها إلي المفتاح التالي :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr
entVersionRun

وذلك ليقوم بحذف القيم التالية :
· System.
· msgsvr32
· DELETE ME
· service
· Sentry
6.ثم بعد ذلك إلي المفتاح التالي :
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurre
ntVersionRun
ليقوم بحذف القيم التالية :
· d3dupdate.exe
· au.exe
· OLE
7.ثم إلي المفتاح التالي :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr
entVersionRunServices
ليحذف القيمة التالية :
System.

8.ثم يحذف المفاتيح التالية :
· HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
· HKEY_CURRENT_USERSoftwareMicrosoftWindowsCur
rentVersionExplorerPINF
· HKEY_LOCAL_MACHINESystemCurrentControlSetServ
icesWksPatch
9.اذا كان الوقت بين الساعة 6 و 9 صباحاً من الثلاثاء 2 مارس 2004م فإن سماعة الجهاز المصاب به هذا الفيروس تقوم باصدار اصوات مستمرة .
10.يقوم بالبحث عن عناوين البريد في أنواع الملفات التالية على القرص الصلب بدءً من C وحتى Z .
· dhtm
· .cgi
· .shtm
· .msg
· .oft
· .sht
· .dbx
· tbb
· .adb
· .doc
· .wab
· .asp
· .uin
· .rtf
· vbs
· .html
· .htm
· .pl
· .php
· .txt
· .eml
11.يقوم باستخدام محرك SMTP الخاص به ليقوم بارسال نفسه إلي العناوين الموجودة اثناء عملية البحث رقم 10 اعلاه فيقوم بالارسال لكل العناوين مرة واحدة فقط .
هذا الفيروس يقوم باستخدام خادم DNS المحلي وذلك لعمل بحث MX (مبادل البريد) للبحث عن عناوين المرسل اليهم ، وفي حالة فشل خادم DNS فإنه يقوم بدلاً من ذلك بالبحث في الخوادم ذات العناوين الشبكية كما في القائمة التالية :
· 145.253.2.171
· 151.189.13.35
· 193.141.40.42
· 193.189.244.205
· 193.193.144.12
· 193.193.158.10
· 194.25.2.129
· 194.25.2.129
· 194.25.2.130
· 194.25.2.131
· 194.25.2.132
· 194.25.2.133
· 194.25.2.134
· 195.185.185.195
· 195.20.224.234
· 212.185.252.136
· 212.185.252.73
· 212.185.253.70
· 212.44.160.8
· 212.7.128.162
· 212.7.128.165
· 213.191.74.19
· 217.5.97.137
· 62.155.255.16

12.الرسالة البريدية الملوثة بهذا الفيروس تحمل الصفات التالية :
1. From: <العنوان هنا يكون زائفاً>

Subject: (عنوان الرسالة يكون احد العناوين التالية
· Re: Your website
· Re: Your product
· Re: Your letter
· Re: Your archive
· Re: Your text
· Re: Your bill
· Re: Your details
· Re: My details
· Re: Word file
· Re: Excel file
· Re: Details
· Re: Approved
· Re: Your software
· Re: Your music
· Re: Here
· Re: Re: Re: Your document
· Re: Hello
· Re: Hi
· Re: Re: Message
· Re: Your picture
· Re: Here is the document
· Re: Your document
· Re: Thanks!
· Re: Re: Thanks!
· Re: Re: Document
· Re: Document

Body: (المتن او نص الرسالة يكون كالتالي )
· Your file is attached.
· Please read the attached file.
· Please have a look at the attached file.
· See the attached file for details.
· Here is the file.
· Your document is attached.
Attachment: (المرفقات : )
· your_website.pif
· your_product.pif
· your_letter.pif
· your_archive.pif
· your_text.pif
· your_bill.pif
· your_details.pif
· document_word.pif
· document_excel.pif
· my_details.pif
· all_document.pif
· application.pif
· mp3music.pif
· yours.pif
· document_4351.pif
· your_file.pif
· message_details.pif
· your_picture.pif
· document_full.pif
· message_part2.pif
· document.pif
· your_document.pif

13.هذا الفيروس يقوم بتجنب الارسال إلي احد العناوين المتضمنة لسلسة الحروف التالية :
· skynet
· messagelabs
· abuse
· fbi
· orton
· f-pro
· aspersky
· cafee
· orman
· itdefender
· f-secur
· avp
· spam
· ymantec
· antivi
· icrosoft
فينصح من اصيب جهازه بهذا الفيروس أن يقوم بإزالته بأداة الازالة المخصصة له من موقع Symantec.com
من الرابط التالي :
http://securityresponse.symantec.co...er/FxNetskyexe
وذلك باتباع الخطوات التالية :
1.تعطيل استعادة النظام
2.استخدام الاداة المذكورة اعلاه او تحديث برنامج مكافحة الفيروسات
3.اعادة تشغيل الجهاز في الوضع الآن او وضع VGA (Safe mode or VGA mode)
4.عمل مسح كامل عن الفيروسات وحذف كل الملفات التي تكتشف كفيروس W32.Netsky.D@mm
5.ازالة القيم المضافة إلي السجل ثم اخيراً اعادة تشغيل الجهاز
انتهى التقرير .
- ترجمة : نادر عبدالهادي القحطاني / عمليات الحاسب الآلي
- بريد الكتروني nalkahtani@hotmail.com

أنمـــار
30-03-2004, 06:32 PM
مشكور فدفيدو على هالتحذير


و الله لا يصيب اي مسلم باي مكروه


الفيروسات صايرة مثل الطاعون اي واحد اول ما يدخل النت انواع الاوبئة و الجراثيم على جهازه ... يحتاج الى أكثر من برنامج مكافحة ..


كنا نقول الوقاية خير من العلاج .. الحين حتى الوقاية ما هي نافعة ..


تحياتي

hussain
30-03-2004, 09:13 PM
مشكور يا فيدو على الموضوع

تحياتي : حسين

ra3ad
30-03-2004, 11:40 PM
السلام عليكم

تعديل لرابط ملف ازاله الفايرس

http://securityresponse.symantec.com/avcenter/FxNetsky.exe

مشكور على التنبيه


7

Brave Heart
31-03-2004, 01:53 AM
فيدو ديدو, ما شاء الله عليك. يعني إنتا بتغيب عن قسم تكنولوجيا بس لما ترجع بتكون مواضيعك رائعة جداً.

و الشكر لأنمار و حسين.

و شكر خاص جداً لأخونا رعد على تعديله الرابط.

fido_dido
31-03-2004, 11:15 AM
انمار،،،
تسلم على مرورك،،،وعسى الله يكفانا شر هالفيروسات ،،،،

حسين،،،
تحياتي لك وتسلم على مرورك،،،،

رعد،،،
تسلم على مرورك وعلى تعديلك على الرابط،،،،

بريف هارت،،،
يعطيك العافيه،،،،على مرورك،،،،ومعذرة على التقصير،،،،بس القسم الترفيهي ماخذ اكثر وقتي،،،،ولاكن مالك هم ان شاء الله مانغيب كثير ثاني،،،،

Brave Heart
01-04-2004, 05:04 AM
أخوي فيدو ديدو,

يمن قال إنك مقصر :) و الله إنك قايم بالواجب و زيادة.

بكفي إنك بترسم أحلى بسمات على وجوه جميع الأعضاء بمواضيك الترافيهية دائماً.

و إنشاء الله إلنا زيارات عندك.

و مرة ثانية شكراً للموضوع و التنبيه الرائع.

fido_dido
01-04-2004, 06:44 PM
بريف هارت،،،،،
تسلم والله احرجتني بكلامك،،،،،واتمنى يكون الي قدمناه حايز على رضاكم،،،،