شرح عمل الدودة و كيف نتخلص منها منقول لافادة

اذهب الى الأسفل

شرح عمل الدودة و كيف نتخلص منها منقول لافادة

مُساهمة من طرف boss في الجمعة يونيو 20, 2008 3:14 am

السلام عليكم ورحمة الله وبركاته

إن الحمد لله نحمده ونستعينه ونستغفره
السلام عليكم ورحمة الله وبركاته



ونعوذ بالله من شرور أنفسنا ومن سيئات أعمالنا ، من يهده الله فلا مظل له

ومن يظلل فلا هادي له .

ونشهد أن لا إله إلا الله وحده لا شريك له ونشهد أن سيدنا محمد رسول الله ونبيه وحبيبه

عليه أفضل الصلوات وأزكى التسليم

أما بعد :

الموضوع ينقسم إلى فصلين

الأول فيه معلومات عن الدودة والثاني فيه كيكفية حذف الدودة

القسم الأول :

فقد ظهر في الأيام القليلة الماضية دودة تصيب المتصفح سواءا explorer أو mozilla أو غيره

بالشلل التام ، وهو منتشر كثيرا وأظن أن الأغلبية من الأشخاص المستعملين للإنترنت يعانون من الفيروس

من دون أن يدركوا أنهم مصابون بالدودة.

إسم الدودة : w32.lecna.a

إكتشفت :يوم 31 ماي 2006

عادت للظهور مجددا بتحديث جديد يوم 13 فيفري 2007

النوع : دودة (worm)

الأنظمة التي تصيبها هذه الدودة هي

windows 2000, windows 95, windows 98, windows me, windows nt,

windows server 2003, windows xp

مهمة الدودة هي :

بإنشاء الملفات التالية

%system%\iexplore.exe

%system%\drivers\minipci.sys (composant du rootkit)

%windir%\drivernum.dat

تقوم بإضافة القيمة التالية

"iexplore.exe" = "iexplore.exe"

على الرجيستر وهذا هو المسار

hkey_local_machine\software\microsoft\windows\currentversion\run

وتبدأ مع تشغيل النظام و تضيف القيم التالية أيضا

"hostid" = "[nombre aléatoire]"
"pid" = "[données cryptées]"

في مفاتيح الرجيستر تحت المسار التالي

hkey_local_machine\software\microsoft\currentnetinf

تغير في القيمة

"forceguest" = "0"

الموجود في المسار التالي في الرجيستر

hkey_local_machine\system\currentcontrolset\control\lsa

تقوم بتثبيت سائق routkit تحت إسم minipci0.ok وتقو الدودة بالإتصال بالمواقع التالية
# www.flyeagles.com/restore/app[supprimé]
# www.flyeagles.com/restore/myap[supprimé]
# www.flyeagles.com/restore/exe[supprimé]
# www.flyeagles.com/restore/ver[supprimé]
# www.flyeagles.com/restore/hostli[supprimé]
# www.flyeagles.com/restore/dizh[supprimé]
# www.flyeagles.com/restore/conne[supprimé

لتحميل الملفات التي تحتوي العناصر التالية

%system%\netscv.exe

%system%\netsvcs.exe

%system%\netsvc.exe


وتقوم الدودة أيضا بتحديث نفسها من الإنترنت والكثير من الأيشاء التخريبية للكمبيتر وغير ذلك

من عمل الدودة.

ويمكنكم التعرف كثيرا على الدودة من خلال الموقع الرسمي لشركة مكافحة الفيروسات symantec

من خلال هذا الرابط

http://www.symantec.com/fr/fr/security_response/writeup.jsp?docid=2006-053112-3821-99&tabid=2

إلى هنا ينتهي الفصل الأول من الموضوع

الفصل الثاني:

نتطرق فيه كيفية التخلص من الفيروس

1- قم بتعطيل خاصية إستعادة النظام للنظامين (windows me/xp)

2- حدث مكافح الفيروسات الذي تستعمله

3- شغل تفحص مكافح الفيروسات للنظام كاملا

4- احذف كل القيم التي أظيفت للرجيستر من طرف الدودة

الغرض من تعطيل إستعادة النظام هي تفادي إستعادة الملفات المصابة بالفيروسات والديدان

وغيرها من الملفات المصابة.

نتعرض للمرحلة الرابعة بالتفصيل وهي كيفية حذف الفيروس


ي


الآن نقوم بحذف القيم التي أظافها الفيروس

1- إضغط على إبدأ (demarrer) ثم تشغيل (executer)

2- أكتب regedit ثم اضغط على موافق

ملاحظة:

إذا كان تحرير الرجيستر مستحيل قم بتحميل هذه الأداة من الرابط التالي

http://securityresponse.symantec.com/avcenter/unhookexec.inf

واحفضها على سطع المكتب

(الأداة من شركة نورتون فلا تخف أن تكون مني وتتهمني بأنه فيروس)

3- إتبع المسار التالي

hkey_local_machine\software\microsoft\windows\currentversion\run

وعلى الجهة المقابلة قم بحذف القيمة التالية

"iexplore.exe" = "iexplore.exe"

ثم ايبع المسار التالي

hkey_local_machine\software\microsoft\currentnetinf

وفي الجهة المقابلة قم بحذف القيم التالية

"hostid" = "[nombre aléatoire]"
"pid" = "[données cryptées]"

ثم اغلق محرر الرجيستر

ملاحظة :

قم بأخذ نسخة إحتياطية للرجيستر قبل أن تقوم بالحذف الخطأ يمكن أن تتسبب في حذف البيانات



وهذا هو الملف الخاص بالرجيستر المحفوظ

ولإستعادة قيم الرجيستر قم بالنقر مرتين على الملف واضغط موافق

ملاحظة :

بعد القيام بحذف الفيروس ومخلفاته لا تنسي إعادة تفعيل خاصية استعادة النظام (restauration)

windows me/xp

الموضوع أهديه لكل الأعضاء الكرام وكل محبي ستار تايمز وخاصة فريق العمل

وبالأخص إشراف المنتدى

تحيات
avatar
boss
المدير و المؤسس
المدير و المؤسس

ذكر
عدد الرسائل : 176
العمر : 27
العمل/الترفيه : etudient
المزاج : bien
تاريخ التسجيل : 15/06/2008

معاينة صفحة البيانات الشخصي للعضو http://donisido.ahlamoontada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

الرجوع الى أعلى الصفحة


 
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى