Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player

Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player

Armco FX هي شركة وساطة واستثمار عالمية مرخصة ومتخصصة في أسواق المال العالمية.
العسل الحر

منتديات الشريف التعليمية

منتدى برنامج معارف كل ما يتعلق ببرنامج معارف من برامج مساعدة وحلول لبعض المشاكل التي تواجهك

موضوع مغلق
احذر هذا الفيروس الجديد لايتلف بيانات معارف .....(saser)
احذر هذا الفيروس الجديد لايتلف بيانات معارف .....(saser)
قديم منذ /05-06-2004, 07:00 PM   #1 (permalink)

عضو نشط جداً

منقذ غير متواجد حالياً

 رقم العضوية : 10785
 تاريخ التسجيل : Feb 2003
 المشاركات : 209
 النقاط : منقذ is on a distinguished road

افتراضي احذر هذا الفيروس الجديد لايتلف بيانات معارف .....(saser)

الادوات اللازمة للتخلص من الدودة الجديدة التي تنتقل عبر الانترنت. دودة Sasser.

https://www.norman.com/Virus/Virus_removal_tools/14938

وتختار رقم الاصدار الخاص بالفيروس الدودة.

نوع الفيروس: فيروس (دودة Worm) ينتقل عبر الاتصالات الشبكية (ليس البريد الالكتروني) بدون تدخل وعلم المستخدم للجهاز وحجم الفيروس هو أي حوالي 15872 بايت اي 15,8 كيلوبايت.

ميكانيكية الانتشار: ينتشر هذا الفيروس عن طريق اتصال الحاسب بحاسب اخر على الشبكة ويستخدم ثغرة في برمجيات ويندوز. يأتي هجوم هذا الفيروس عبر المنفذ port 445/tcp وفي حالة كون الكمبيوتر ذا ثغرات امنية فإنه سيحدث Buffer overrun أو حسب فهمي فهو سيحمل ملف تنفيذي في الكمبيوتر فوق طاقته والملف التنفيذي هو LSASS.EXE. وهذا بدوره يعطي للفيروس الدودة لينصب غلاف shell للتحكم عن بعد في الجهاز الضحية. وعن طريق هذا الـ shell للتحكم عن بعد فإن الحاسب الأن مأمور بأن يجلب ملف الفيروس من الكمبيوتر المصاب الأول الى الكمبيوتر المصاب الجديد عبر ناقل FTP بروتوكول نقل الملفات ومن ثم تشغيل الفيروس.

وبعد ذلك يقوم الفيروس بنقل نفسه الى مجلد ويندوز تحت مسمى AVSERVE.EXE وقد يعمل الفيروس ملفات ثانية لكي يكمل عملية الإصابة.

وهذا هو اسمه (مفتاح الفيروس) في محرر السجلات registry
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

avserve.exe = %WINDIR%\avserve.exe

وكعملية من عمليات الاصابة فيقوم الفيروس بفتح منفذ port 9996/tcp للتحكم بالجهاز عن بعد و port 5554/tcp لنقل الملفات.
وبهذه المنافذ المفتوحة يستطيع المخترق اختراق الجهاز الضحية بالاضافة الى عملية تحمي الملف التنفيذي LSASS.EXE فوق طاقته والذي ينتج عنه خلل في عمل الحاسب الضحية.

وهذا الفيروس يصيب اجهزة الحاسب التي تحمل نظام ويندوز كما ذكرنا أنفا والجهاز الضحية يصبح اكثر عرضة للإصابة في حالة عدم تنزيل وتنصيب ملفات الثغرات الامنية التي تطلقها شركة مايكروسوفت.

وكما ذكرنا فإن رابط تنزيل ملف الازالة هو في اعلى المقال.

تمت الترجمة بالجهد الشخصي ومن موقع https://www.norman.com/Virus/Virus_d...us?show=default
وهو موقع متخصص لإزالة الفيروسات واصدار برامج مكافحة الفيروسات على أنواعها.
ولحل مشكله الفايروس لابد من تحميل باتش من موقع مايكروسوفت

لمستخدمي الاكس بي

https://www.microsoft.com/downloads/...&displaylang=en

لمستخدمي ويندز 2000

https://www.microsoft.com/downloads/...&displaylang=en

وفي الختام

تقرير عن دودة W32.Sasser.b.Worm

كاتب التقرير : Heather Shannon من شركة سيمانتك
انطلق فيروس W32.Sasser.b.Worm بتاريخ 1 مايو 2004 وهو من نوع دودة وهي خطرة جداً حيث رفعت شركة سيمانتك درجة خطورته إلي الفئة رقم 4 وتم تطويره في 6 من نفس الشهر وقد تواترت الانباء عندي انه قد ضرب اغلب الاجهزة في الخليج العربي وخاصة الجهات الحكومية وقد سبب اضراراً بالغة كان بالامكان تفاديها لو حذرت منه الجهات المعنية على حد علمي حيث انه ينبغي تحديد طريقة للمراسلة بين المستخدمين وهذه الجهات للتبليغ عن أي فيروس جديد يصيب اجهزة المستخدمين .
وانني هنا أتساءل عن دور الاعلام وخاصة الصحف الخليجية في هذه المسألة حيث حسب علمي لم يحذر من ذلك ولا صحيفة وان كان قد حذر فعلاً منه وهو ما لا اتوقعه فهو بعد اصابة الشبكات الداخلية لبعض الدول الخليجية وأول اصابة لجهاز كانت حسب ما بلغني كانت يوم السبت 13/3/1425هـ
والى تاريخه لم اقرأ أي خبر في صحفنا عن تلك الدودة الخطرة ما عدا الطور الأول من هذه الدودة والمسمى W32.Sasser.Worm فيستخدم بعضنا اداة لإزالة الطور الاول فلا تجدي معه وهنا مكمن الخلل .
الانظمة المعرضة للإصابة به : Windows 2000, Windows XP
الأنظمة الآمنة : DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows
3. x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server
2003
مدى التلوث : 15,872 بايت
الاسماء المشهورة له : WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky], W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Associates], Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
التهديد: عالي
التدمير: منخفض
التوزيع: عالي
تقييم التهديد :
مستوى التهديد : عالي
عدد الاصابات : اكثر من 1000 جهاز حتى ترجمة هذا التقرير
عدد المواقع المصابة : اكثر من 10
الانتشار الجغرافي : عالي
مستوى احتواء التهديد : سهل
مستوى الخبرة المطلوبة لازالته : متوسطة
الأثر التدميري : منخفض
الانتشار : عالي
منافذ هجوم هذه الدودة : منافذ TCP (بروتوكول التحكم والنقل) ذات الرقم 445 ، 5554، 9996
هدف التلوث : الانظمة التي تعاني من ثغرة LSASS المعروفة باسم MS04-001
التفاصيل التقنية :
عند تحميل المرفقات بالرسالة المصابة وفتحها او عند تشغيل هذه الدودة W32.Sasser.b.Worm فإنها تقوم بالتالي :
1. تقوم بإنشاء mutex باسم JumpallsNlsTillt والتي تقوم بالسماح لحالة واحدة فقط من هذه الدودة لكي يشتغل وفي حالة فشلها فإنه يقوم بالخروج .
2. تقوم بانشاء mutex باسم Jobaka3.
3. تقوم بنسخ نفسها باسم Avserve2.exe وذلك في مجلد تنصيب الوندوز %Windir% (قد يكون c:\windows او c:\winnt .....الخ)
4. تذهب إلي مفتاح السجل التالي :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run
ثم تضيف القيمة التالية :
"avserve2.exe"="%Windir%\avserve2.exe"
وذلك لكي تشتغل هذه الدودة في كل مرة تقوم بتشغيل الجهاز .
5. تستخدم قيمة الوصلة البينية البرمجية التطبيقية AbortSystemShutdown API وذلك لمنع اطفاء او اعادة تشغيل الجهاز
6. تبدأ بخادم بروتوكول نقل الملفات FTP على منفذ TCP ذي الرقم 5554 وهذا الخادم يقوم بنشر هذه الدودة إلي إلي الانظمة المستضيفة الاخرى .
7. تقوم بالتكرار من خلال العناوين الشبكية IP المستضيفة باحثةً عن العناوين الخالية من العناوين التالية :
127. 0.0.1
10. x.x.x
172. 16.x.x - 172.31.x.x (شمولي)
192. 168.x.x
169. 254.x.x
8. باستخدام واحداً من العناوين الشبكية المذكورة اعلاه تقوم هذه الدودة بتوليد عناوين شبكية عشوائية كالتالي :
· اكمال العنونة العشوائية في 52% من الوقت
· تغير آخر ثلاثة ارقام ثمانية إلي ارقام عشوائية وذلك في 23% من الوقت
· تغير آخر رقمين ثمانيين إلي ارقام عشوائية وذلك في 25% من الوقت
ملحوظة :
الرقم الثماني هو قسم من 8 بتات من الرقم الشبكي مثلاً اذا كان A.B.C.D رقماً شبكياً فإن A هو اول رقم ثماني و B هو ثاني رقم ثماني...الخ ونظراً لأن هذه الدودة تستطيع أن تنشيء عناوين شبكية عشوائية تماماً فإن أي نطاق عناوين شبكي يعتبر معرضاً للإصابة ، وهذه العملية مركبة من 128 تهديداً والتي بدورها تحتاج إلي استهلاك وقت اكثر من المعالج .مما يسبب بطء الجهاز وصعوبة استخدامه .
9. تتصل على العناوين العشوائية المولدة عن طريق TCP والمنفذ 445 لمعرفة ما اذا كان الجهاز البعيد متصل ام لا ؟ .
10. في حالة الاتصال بالكمبيوتر البعيد فإن هذه الدودة سترسل شفرة الغلاف Shell Code إليه وذلك لفتح اتصال غلاف بعيد على TCP والمنفذ 9996 .
11. يستخدم الغلاف على الجهاز البعيد لإعادة الاتصال بأجهزة خادم FTP المصابة والتي تشغل TCP والمنفذ 5554 لاسترجاع نسخة من الدودة .
واسم هذه النسخة يتألف من 4 او 5 أرقام متبوعة بـ up.exe مثل 74354_up.exe
12. العملية Lsass.exe ستنهار بعد اسثمار الدودة لنقطة الضعف Windows LSASS ثم يعرض Windows تحذيراً ثم ينطفيء الجهاز في دقيقة واحدة .


13. ينشئي ملفاً في c:\win2.log يحتوي على عناوين شبكية للأجهزة التي يحاول الجهاز المصاب حالياً اصابتها اضافة إلي ارقام الاجهزة المصابة .
تعليمات مهمة لإزالة هذه الدودة :
ملحوظة قبل أن تبدأ :
اذا كنت تستخدم Windows 2000 او XP ولم تشغله قبل قراءة هذا التقرير فيجب عليك أن تركب الرقعة البرمجية لنقطة الضعف المذكورة بتفاصيلها على هذا العنوان
https://www.microsoft.com/technet/se.../MS04-011.mspx.
واذا لم تكن كذلك فإن جهازك سيكون عرضة لتكرار الاصابة بهذه الدودة .
ماذا تعمل اذا كان الجهاز يعيد التشغيل قبل أن تستفيد من او تنزل الرقعة البرمجية من الانترنت او من الشبكة المحلية ؟
(معك مهلة 20 ثانية للقيام بالعمل التالي قبل أن تعيد الدودة تشغيل الجهاز)
الخطوات التالية لا تنطبق على Windows 2000
1. اقطع الاتصال بالانترنت او الشبكة (افصل الكابل اذا كان ضرورياً)
2. اعد تشغيل الجهاز
3. عند دخولك إلي سطح المكتب فمن قائمة ابدأ START افتح تشغيل RUN
4. ثم اكتب الامر التالي :
Cmd
ثم اضغط ENTER
5. وعند رؤيتك شاشة موجه الأوامر السوداء اكتب الامر التالي :
Shutdown –i
ثم اضغط ENTER
6. غير القيمة 20 إلى 9999 وهذا ما يمكنك من العمل 3 ساعات متواصلة قبل انطفاء الجهاز وهذا وقت كافٍ لعمل ما هو اكثر من تنزيل الرقعة البرمجية واداة الازالة وتحديث تعريفات الفيروسات لبرامج مضادات الفيروسات .
7. أعد الاتصال بالانترنت او الشبكة
8. نزل الرقعة البرمجية ثم استمر مع الخطوة أدناه
نزل أداة الازالة من الشبكة او من العنوان التالي :
https://securityresponse.symantec.co...moval.tool.html
(هذه نصيحة شركة سيمانتك ومترجم هذا المقال ينصح باستخدام الأداة Stinger المقدمة مجاناً من شركة
Mcafee نظراً لإستطاعتها التعرف وازالة اكثر من 41 نوعاً من الديدان وأطوارها و كذلك أحصنة
طروادة نزلها من الشبكة أو العنوان التالي :
https://download.nai.com/products/mc...ert/stinger.exe )
انتهى تقرير شركة سيمانتك
كاتب التقرير : Heather Shannon من شركة سيمانتك
https://securityresponse.symantec.co...ser.b.worm.html
ترجمة : نادر القحطاني
بريد الكتروني nalkahtani@hotmail.com
السيرة الذاتية https://nadir.0catch.com/englishcv.htm
ملحوظات مهمة في عملية الازالة :
1. بعد تنزيلك الرقعة البرمجية وتركيبها وبعد تنزيل اداة الازالة قم بالدخول للجهاز في الوضع الآمن (طبعاً تحت الحساب Administrator) وذلك لإيقاف العمليات غير الضرورية بما فيها العملية التي تشغلها الدودة اما اذا اصررت على الدخول إلي الجهاز في غير الوضع الآمن فادخل كمدير للنظام Administrator او ما يعادله لأنك قد تصطدم بجدار حماية نظام NTFS فيمنعك من تفحص كامل القرص الصلب .
2. قم بتعطيل خدمة استعادة النظام لحذف محتويات المجلد System Volume Information لأنه قد يحتفظ ببعض الملفات المصابة بهذه الدودة وعند اول عملية استعادة للنظام قد يقوم باستعادة كامل الملفات بما فيها الملفات المصابة هذا بعد تأكدك بخلو الجهاز من الفيروسات اضافة إلي أن مضادات الفيروسات قد تصطدم بجدار حماية نظام NTFS فلا تستطيع ازالة ما يوجد في المجلد المذكور .

--------------------------------------------------------------------------------







التوقيع
اللهم انصر المسلمين في افغانستان وفلسطين والشيشان وكشمير والفلبين والعراق وفي كل مكان يارب العالمين

للتواصل عبرالماسنجرalkhaldiss@hotmail.com
 

موضوع مغلق

مواقع النشر (المفضلة)

أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
احذر احذر احذر الفيروس الخطير,,,,, "أبو إياد" المنتدى العام 17 04-07-2008 12:23 AM
احذروا الفيروس الجديد المعلم السعيد المنتدى العام 9 15-08-2005 12:36 AM
ما حكاية الفيروس الجديد ؟ asd07 المنتدى العام 0 23-08-2003 02:14 PM

جامعة نجران

Ads Organizer 3.0.3 by Analytics - Distance Education
الساعة الآن 04:07 AM

  • روابط هامة
  • روابط هامة
LinkBack
LinkBack URL LinkBack URL
About LinkBacks About LinkBacks

SEO by vBSEO 3.6.1