بنت دبي
07-10-2003, 11:03 AM
مرحبا ....
ظهر عدد من الفيروسات الاسبوع الماضي منها ما يدخل تحت قائمة التروجان ومنها ما يدخل تحت قائمة دودة الـ win32 وكالعادة كانت حصيلة الفيروسات التابعة لدودة الوين 32 اكثر من التروجانات وغيرها اربع دودات ظهرن كان اهمها دومارو التي صدر منها نسختان B وE وهي دودة بريد الكتروني مع وظائف باب خلفي وهي تصل في رسالة تحمل الملامح التالية:
From: security@microsoft.com
Subject line: Use this patch immediately!
Message text: Dear friend, use this lnternet Explorer patch now!
There are dangerous virus in the lnternet now!
More than 500.000 already infected!
Attached file: patch.exe
الدودة تنسخ نفسها على مجلد النوافذ dillreg.exe ومجلد نظام النوافذ باسم load32 و vxdmgr.exe ومجلد البداية باسم Rundlllw.exe.
الدودة ايضا تكون ملفا اسمه guide32.dll في مجلد الويندوز وهو عبارة عن برنامج يعمل على المونيتور ومفاتيح اللوحة ويدخل معلومات في ملف winload.log الذي يوجد داخل مجلد النوافذ وقد يؤدي ذلك إلى تحميل نظام الانشطة إلى خادم FTP متحرك.
وتقوم الدورة بتكوين اسماء الدخول الآتية للتأكيد على انها ستعمل في كل مرة يبدأ فيها الويندوز:
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\load32=load32.exe
W32/Dumaru-B creates another registry entry as a marker:
HKLM\Software\SARS\kwmfound
اما دودة بوابة الحب فقد اصدرت النسخة R منها وهي دودة win32 وتشبه تروجان الابواب الخلفية حيث تنتشر عبر الشبكة المحلية بنسخ نفسها داخل المجلدات المشتركة مستخدمة الاسماء التالية:
billgt.exe
Card.EXE
docs.exe
fun.exe
hamster.exe
humor.exe
images.exe
joke.exe
midsong.exe
news_doc.exe
pics.exe
PsPGame.exe
s3msong.exe
searchURL.exe
SETUP.EXE
tamagotxi.exe
وهي تحاول ايضا ان تنتشر عبر البريد الالكتروني بارسال نفسها لعناوين البريد الالكتروني المجموعة من ht.files والرسائل المبعوثة لهذه العناوين ستحمل الخصائص التالية:
Subject line: PrOn!
Message body: Adult content!!! Use with parental advisory.
Atteched file: Docs.exe
Subject line: Evaluation copy
Message body: Test it 30 days for free.
Attached file: Source.exe
Subject line: Help
im going crazy®®. please try to find the bug!Message body:
Atteched file: Docs.exe
Subject line: Beta
Message body:
Send reply if uou want to be official beta tester
Atteched file:_SetupB.exe
Subject line: Do not release
Message body: This is the pack;)
Attached file: Pack.exe
Subjedct line: Last Update
Message body: This is the last cumulative update.
Attached file: LUPdate.exe
Subject line: The patch
Message body: l think all will work fine.
Attached file: Patch.exe
Subject line: Cracks!
Message body: Check our list andmail your requests!
Attached file: CrkList.exe
الدودة الاخيرة هي رانديكس جي وتعدد دودة شبكية مع قدرات الباب الخلفي أو الباك دور وتسمح للمقتحمين المتحركين ان يدخلوا ويتحكموا في الحاسب عبر قنوات الـ IRC.
وراندكس جي تنتشر عبر الشبكة بنسخ نفسها لنظام مجلد النوافذ 32 الخاص بشبكات مشتركة وذلك من خلال كلمات السر الضعيفة.
ولكي تحصلوا على ملفات ازالة الفيروسات التابعة لدودة الوين 32 اذهبوا إلى هذه الصفحة:
www.sophos. comIsupportldisinfection I worms.html
اما فيروسات التروجان فقط ظهر منها اثنان الاسبوع الماضي، الاول هو هاكارمي ايه وهو تروجان ابواب خلفية iRc وينسخ نفسه داخل مجلد نظام النوافذ باسم win32server.scR
ويؤسس اسماء الدخول التالية:
HKLM\Software\Microsoft\Windows\CurrentV
ersion\Run\Winsock32driver=win32server.scr.
بعد ذلك يدخل التروجان إلى خادم IRC سابق التعريف وينتظر لاوامر الباك دور.التروجان الثاني هو كهوستس1 وهو يغير الاعدادات الاولية للنوافذ في خادم الـ DNS وبذلك يصيب الآرات التي تستخدم نفس المضيف واذا بلغ عدد الآرات المصابة رقما مرتفعا فسوف يكون من السهل اجتياح خادم الـ DNS.
الكهوستس ايضا تقتحم متصفح الانترنت حتى يتم تحويل طلب الدخول على الإنترنت إلى الخادم الذي يختاره كاتب التروجان بشكل غير مباشر.ولكي تحصلوا على ملفات ازالة التروجان زوروا هذه الصفحة:
www.sophos.com/support/disinfection/trajan.html
الفيروس الاخير هو ويساب ايه وهو تابع للماكروثر وهو ينتشر مستخدما تركيبة تسمى xl4test5 حيث يكون مجلدا داخل المشغل xlstart يسمى Book1.واذا اردتم الحصول على ملفات التخلص منه زوروا هذه الصفحة:
www.sophos.com/
disinfiction/macrovir.html
تحياتي لكم
ظهر عدد من الفيروسات الاسبوع الماضي منها ما يدخل تحت قائمة التروجان ومنها ما يدخل تحت قائمة دودة الـ win32 وكالعادة كانت حصيلة الفيروسات التابعة لدودة الوين 32 اكثر من التروجانات وغيرها اربع دودات ظهرن كان اهمها دومارو التي صدر منها نسختان B وE وهي دودة بريد الكتروني مع وظائف باب خلفي وهي تصل في رسالة تحمل الملامح التالية:
From: security@microsoft.com
Subject line: Use this patch immediately!
Message text: Dear friend, use this lnternet Explorer patch now!
There are dangerous virus in the lnternet now!
More than 500.000 already infected!
Attached file: patch.exe
الدودة تنسخ نفسها على مجلد النوافذ dillreg.exe ومجلد نظام النوافذ باسم load32 و vxdmgr.exe ومجلد البداية باسم Rundlllw.exe.
الدودة ايضا تكون ملفا اسمه guide32.dll في مجلد الويندوز وهو عبارة عن برنامج يعمل على المونيتور ومفاتيح اللوحة ويدخل معلومات في ملف winload.log الذي يوجد داخل مجلد النوافذ وقد يؤدي ذلك إلى تحميل نظام الانشطة إلى خادم FTP متحرك.
وتقوم الدورة بتكوين اسماء الدخول الآتية للتأكيد على انها ستعمل في كل مرة يبدأ فيها الويندوز:
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\load32=load32.exe
W32/Dumaru-B creates another registry entry as a marker:
HKLM\Software\SARS\kwmfound
اما دودة بوابة الحب فقد اصدرت النسخة R منها وهي دودة win32 وتشبه تروجان الابواب الخلفية حيث تنتشر عبر الشبكة المحلية بنسخ نفسها داخل المجلدات المشتركة مستخدمة الاسماء التالية:
billgt.exe
Card.EXE
docs.exe
fun.exe
hamster.exe
humor.exe
images.exe
joke.exe
midsong.exe
news_doc.exe
pics.exe
PsPGame.exe
s3msong.exe
searchURL.exe
SETUP.EXE
tamagotxi.exe
وهي تحاول ايضا ان تنتشر عبر البريد الالكتروني بارسال نفسها لعناوين البريد الالكتروني المجموعة من ht.files والرسائل المبعوثة لهذه العناوين ستحمل الخصائص التالية:
Subject line: PrOn!
Message body: Adult content!!! Use with parental advisory.
Atteched file: Docs.exe
Subject line: Evaluation copy
Message body: Test it 30 days for free.
Attached file: Source.exe
Subject line: Help
im going crazy®®. please try to find the bug!Message body:
Atteched file: Docs.exe
Subject line: Beta
Message body:
Send reply if uou want to be official beta tester
Atteched file:_SetupB.exe
Subject line: Do not release
Message body: This is the pack;)
Attached file: Pack.exe
Subjedct line: Last Update
Message body: This is the last cumulative update.
Attached file: LUPdate.exe
Subject line: The patch
Message body: l think all will work fine.
Attached file: Patch.exe
Subject line: Cracks!
Message body: Check our list andmail your requests!
Attached file: CrkList.exe
الدودة الاخيرة هي رانديكس جي وتعدد دودة شبكية مع قدرات الباب الخلفي أو الباك دور وتسمح للمقتحمين المتحركين ان يدخلوا ويتحكموا في الحاسب عبر قنوات الـ IRC.
وراندكس جي تنتشر عبر الشبكة بنسخ نفسها لنظام مجلد النوافذ 32 الخاص بشبكات مشتركة وذلك من خلال كلمات السر الضعيفة.
ولكي تحصلوا على ملفات ازالة الفيروسات التابعة لدودة الوين 32 اذهبوا إلى هذه الصفحة:
www.sophos. comIsupportldisinfection I worms.html
اما فيروسات التروجان فقط ظهر منها اثنان الاسبوع الماضي، الاول هو هاكارمي ايه وهو تروجان ابواب خلفية iRc وينسخ نفسه داخل مجلد نظام النوافذ باسم win32server.scR
ويؤسس اسماء الدخول التالية:
HKLM\Software\Microsoft\Windows\CurrentV
ersion\Run\Winsock32driver=win32server.scr.
بعد ذلك يدخل التروجان إلى خادم IRC سابق التعريف وينتظر لاوامر الباك دور.التروجان الثاني هو كهوستس1 وهو يغير الاعدادات الاولية للنوافذ في خادم الـ DNS وبذلك يصيب الآرات التي تستخدم نفس المضيف واذا بلغ عدد الآرات المصابة رقما مرتفعا فسوف يكون من السهل اجتياح خادم الـ DNS.
الكهوستس ايضا تقتحم متصفح الانترنت حتى يتم تحويل طلب الدخول على الإنترنت إلى الخادم الذي يختاره كاتب التروجان بشكل غير مباشر.ولكي تحصلوا على ملفات ازالة التروجان زوروا هذه الصفحة:
www.sophos.com/support/disinfection/trajan.html
الفيروس الاخير هو ويساب ايه وهو تابع للماكروثر وهو ينتشر مستخدما تركيبة تسمى xl4test5 حيث يكون مجلدا داخل المشغل xlstart يسمى Book1.واذا اردتم الحصول على ملفات التخلص منه زوروا هذه الصفحة:
www.sophos.com/
disinfiction/macrovir.html
تحياتي لكم