شرح عمل الدودة و كيف نتخلص منها منقول لافادة
صفحة 1 من اصل 1
شرح عمل الدودة و كيف نتخلص منها منقول لافادة
من طرف boss الجمعة يونيو 20, 2008 3:14 am
السلام عليكم ورحمة الله وبركاته
إن الحمد لله نحمده ونستعينه ونستغفره
السلام عليكم ورحمة الله وبركاته
ونعوذ بالله من شرور أنفسنا ومن سيئات أعمالنا ، من يهده الله فلا مظل له
ومن يظلل فلا هادي له .
ونشهد أن لا إله إلا الله وحده لا شريك له ونشهد أن سيدنا محمد رسول الله ونبيه وحبيبه
عليه أفضل الصلوات وأزكى التسليم
أما بعد :
الموضوع ينقسم إلى فصلين
الأول فيه معلومات عن الدودة والثاني فيه كيكفية حذف الدودة
القسم الأول :
فقد ظهر في الأيام القليلة الماضية دودة تصيب المتصفح سواءا explorer أو mozilla أو غيره
بالشلل التام ، وهو منتشر كثيرا وأظن أن الأغلبية من الأشخاص المستعملين للإنترنت يعانون من الفيروس
من دون أن يدركوا أنهم مصابون بالدودة.
إسم الدودة : w32.lecna.a
إكتشفت :يوم 31 ماي 2006
عادت للظهور مجددا بتحديث جديد يوم 13 فيفري 2007
النوع : دودة (worm)
الأنظمة التي تصيبها هذه الدودة هي
windows 2000, windows 95, windows 98, windows me, windows nt,
windows server 2003, windows xp
مهمة الدودة هي :
بإنشاء الملفات التالية
%system%\iexplore.exe
%system%\drivers\minipci.sys (composant du rootkit)
%windir%\drivernum.dat
تقوم بإضافة القيمة التالية
"iexplore.exe" = "iexplore.exe"
على الرجيستر وهذا هو المسار
hkey_local_machine\software\microsoft\windows\currentversion\run
وتبدأ مع تشغيل النظام و تضيف القيم التالية أيضا
"hostid" = "[nombre aléatoire]"
"pid" = "[données cryptées]"
في مفاتيح الرجيستر تحت المسار التالي
hkey_local_machine\software\microsoft\currentnetinf
تغير في القيمة
"forceguest" = "0"
الموجود في المسار التالي في الرجيستر
hkey_local_machine\system\currentcontrolset\control\lsa
تقوم بتثبيت سائق routkit تحت إسم minipci0.ok وتقو الدودة بالإتصال بالمواقع التالية
# www.flyeagles.com/restore/app[supprimé]
# www.flyeagles.com/restore/myap[supprimé]
# www.flyeagles.com/restore/exe[supprimé]
# www.flyeagles.com/restore/ver[supprimé]
# www.flyeagles.com/restore/hostli[supprimé]
# www.flyeagles.com/restore/dizh[supprimé]
# www.flyeagles.com/restore/conne[supprimé
لتحميل الملفات التي تحتوي العناصر التالية
%system%\netscv.exe
%system%\netsvcs.exe
%system%\netsvc.exe
وتقوم الدودة أيضا بتحديث نفسها من الإنترنت والكثير من الأيشاء التخريبية للكمبيتر وغير ذلك
من عمل الدودة.
ويمكنكم التعرف كثيرا على الدودة من خلال الموقع الرسمي لشركة مكافحة الفيروسات symantec
من خلال هذا الرابط
http://www.symantec.com/fr/fr/security_response/writeup.jsp?docid=2006-053112-3821-99&tabid=2
إلى هنا ينتهي الفصل الأول من الموضوع
الفصل الثاني:
نتطرق فيه كيفية التخلص من الفيروس
1- قم بتعطيل خاصية إستعادة النظام للنظامين (windows me/xp)
2- حدث مكافح الفيروسات الذي تستعمله
3- شغل تفحص مكافح الفيروسات للنظام كاملا
4- احذف كل القيم التي أظيفت للرجيستر من طرف الدودة
الغرض من تعطيل إستعادة النظام هي تفادي إستعادة الملفات المصابة بالفيروسات والديدان
وغيرها من الملفات المصابة.
نتعرض للمرحلة الرابعة بالتفصيل وهي كيفية حذف الفيروس
ي
الآن نقوم بحذف القيم التي أظافها الفيروس
1- إضغط على إبدأ (demarrer) ثم تشغيل (executer)
2- أكتب regedit ثم اضغط على موافق
ملاحظة:
إذا كان تحرير الرجيستر مستحيل قم بتحميل هذه الأداة من الرابط التالي
http://securityresponse.symantec.com/avcenter/unhookexec.inf
واحفضها على سطع المكتب
(الأداة من شركة نورتون فلا تخف أن تكون مني وتتهمني بأنه فيروس)
3- إتبع المسار التالي
hkey_local_machine\software\microsoft\windows\currentversion\run
وعلى الجهة المقابلة قم بحذف القيمة التالية
"iexplore.exe" = "iexplore.exe"
ثم ايبع المسار التالي
hkey_local_machine\software\microsoft\currentnetinf
وفي الجهة المقابلة قم بحذف القيم التالية
"hostid" = "[nombre aléatoire]"
"pid" = "[données cryptées]"
ثم اغلق محرر الرجيستر
ملاحظة :
قم بأخذ نسخة إحتياطية للرجيستر قبل أن تقوم بالحذف الخطأ يمكن أن تتسبب في حذف البيانات
وهذا هو الملف الخاص بالرجيستر المحفوظ
ولإستعادة قيم الرجيستر قم بالنقر مرتين على الملف واضغط موافق
ملاحظة :
بعد القيام بحذف الفيروس ومخلفاته لا تنسي إعادة تفعيل خاصية استعادة النظام (restauration)
windows me/xp
الموضوع أهديه لكل الأعضاء الكرام وكل محبي ستار تايمز وخاصة فريق العمل
وبالأخص إشراف المنتدى
تحيات
إن الحمد لله نحمده ونستعينه ونستغفره
السلام عليكم ورحمة الله وبركاته
ونعوذ بالله من شرور أنفسنا ومن سيئات أعمالنا ، من يهده الله فلا مظل له
ومن يظلل فلا هادي له .
ونشهد أن لا إله إلا الله وحده لا شريك له ونشهد أن سيدنا محمد رسول الله ونبيه وحبيبه
عليه أفضل الصلوات وأزكى التسليم
أما بعد :
الموضوع ينقسم إلى فصلين
الأول فيه معلومات عن الدودة والثاني فيه كيكفية حذف الدودة
القسم الأول :
فقد ظهر في الأيام القليلة الماضية دودة تصيب المتصفح سواءا explorer أو mozilla أو غيره
بالشلل التام ، وهو منتشر كثيرا وأظن أن الأغلبية من الأشخاص المستعملين للإنترنت يعانون من الفيروس
من دون أن يدركوا أنهم مصابون بالدودة.
إسم الدودة : w32.lecna.a
إكتشفت :يوم 31 ماي 2006
عادت للظهور مجددا بتحديث جديد يوم 13 فيفري 2007
النوع : دودة (worm)
الأنظمة التي تصيبها هذه الدودة هي
windows 2000, windows 95, windows 98, windows me, windows nt,
windows server 2003, windows xp
مهمة الدودة هي :
بإنشاء الملفات التالية
%system%\iexplore.exe
%system%\drivers\minipci.sys (composant du rootkit)
%windir%\drivernum.dat
تقوم بإضافة القيمة التالية
"iexplore.exe" = "iexplore.exe"
على الرجيستر وهذا هو المسار
hkey_local_machine\software\microsoft\windows\currentversion\run
وتبدأ مع تشغيل النظام و تضيف القيم التالية أيضا
"hostid" = "[nombre aléatoire]"
"pid" = "[données cryptées]"
في مفاتيح الرجيستر تحت المسار التالي
hkey_local_machine\software\microsoft\currentnetinf
تغير في القيمة
"forceguest" = "0"
الموجود في المسار التالي في الرجيستر
hkey_local_machine\system\currentcontrolset\control\lsa
تقوم بتثبيت سائق routkit تحت إسم minipci0.ok وتقو الدودة بالإتصال بالمواقع التالية
# www.flyeagles.com/restore/app[supprimé]
# www.flyeagles.com/restore/myap[supprimé]
# www.flyeagles.com/restore/exe[supprimé]
# www.flyeagles.com/restore/ver[supprimé]
# www.flyeagles.com/restore/hostli[supprimé]
# www.flyeagles.com/restore/dizh[supprimé]
# www.flyeagles.com/restore/conne[supprimé
لتحميل الملفات التي تحتوي العناصر التالية
%system%\netscv.exe
%system%\netsvcs.exe
%system%\netsvc.exe
وتقوم الدودة أيضا بتحديث نفسها من الإنترنت والكثير من الأيشاء التخريبية للكمبيتر وغير ذلك
من عمل الدودة.
ويمكنكم التعرف كثيرا على الدودة من خلال الموقع الرسمي لشركة مكافحة الفيروسات symantec
من خلال هذا الرابط
http://www.symantec.com/fr/fr/security_response/writeup.jsp?docid=2006-053112-3821-99&tabid=2
إلى هنا ينتهي الفصل الأول من الموضوع
الفصل الثاني:
نتطرق فيه كيفية التخلص من الفيروس
1- قم بتعطيل خاصية إستعادة النظام للنظامين (windows me/xp)
2- حدث مكافح الفيروسات الذي تستعمله
3- شغل تفحص مكافح الفيروسات للنظام كاملا
4- احذف كل القيم التي أظيفت للرجيستر من طرف الدودة
الغرض من تعطيل إستعادة النظام هي تفادي إستعادة الملفات المصابة بالفيروسات والديدان
وغيرها من الملفات المصابة.
نتعرض للمرحلة الرابعة بالتفصيل وهي كيفية حذف الفيروس
ي
الآن نقوم بحذف القيم التي أظافها الفيروس
1- إضغط على إبدأ (demarrer) ثم تشغيل (executer)
2- أكتب regedit ثم اضغط على موافق
ملاحظة:
إذا كان تحرير الرجيستر مستحيل قم بتحميل هذه الأداة من الرابط التالي
http://securityresponse.symantec.com/avcenter/unhookexec.inf
واحفضها على سطع المكتب
(الأداة من شركة نورتون فلا تخف أن تكون مني وتتهمني بأنه فيروس)
3- إتبع المسار التالي
hkey_local_machine\software\microsoft\windows\currentversion\run
وعلى الجهة المقابلة قم بحذف القيمة التالية
"iexplore.exe" = "iexplore.exe"
ثم ايبع المسار التالي
hkey_local_machine\software\microsoft\currentnetinf
وفي الجهة المقابلة قم بحذف القيم التالية
"hostid" = "[nombre aléatoire]"
"pid" = "[données cryptées]"
ثم اغلق محرر الرجيستر
ملاحظة :
قم بأخذ نسخة إحتياطية للرجيستر قبل أن تقوم بالحذف الخطأ يمكن أن تتسبب في حذف البيانات
وهذا هو الملف الخاص بالرجيستر المحفوظ
ولإستعادة قيم الرجيستر قم بالنقر مرتين على الملف واضغط موافق
ملاحظة :
بعد القيام بحذف الفيروس ومخلفاته لا تنسي إعادة تفعيل خاصية استعادة النظام (restauration)
windows me/xp
الموضوع أهديه لكل الأعضاء الكرام وكل محبي ستار تايمز وخاصة فريق العمل
وبالأخص إشراف المنتدى
تحيات
boss- المدير و المؤسس
-
عدد الرسائل : 176
العمر : 34
العمل/الترفيه : etudient
المزاج : bien
تاريخ التسجيل : 15/06/2008 -
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى