السلام عليكم ورحمة الله

اخواني اخواتي

انتشر الان فيروس يصنف انه خطير جدا ويدعى W32/Nimda وسوف اتناول جميع المعلومات الخاصة بالفيروس والذي بدأ بالانتشار :

الانظمة المعرضة للاصابة بالفيروسW32/Nimda :

جميع انظمة الويندوز Win9x/NT/2000/ME


طريقة الاصابة :

الفيروس بدء بالانتشار عن طريق الايميل وبالطبع سوف يصلك من عناوين انت تثق بها كايميل صديقك او اخوك ............ الخ .
كما يمكن ان ياخذ الفيروس شكل ايقونة بصفحة HTML وياتي على شكل ملحقات attachment بالرسالة القادمة لك من صديقك ومصدر الخطورة ان صديقك او اخيك تاتي الرسالة منه من غير علم ومعرفه ان جهازه مصاب بالفيروس والفيروس يقوم بارسال نفسه دون علمه الى القائمة التي لديه .

لذا على جميع من يستخدم برنامج اوتلوك ان يقوم بعمل الاتي :

disable the Preview Pane

كون هذه الخاصية تقوم بتفعيل الفيروس .


ماذا يفعل هذا الفيروس :

العمل الرئيسي للفيروس اولا وببساطة هو الانتشار على الانترنت واصابة اكبر عدد ممكن من المستخدمين .

* يقوم الفيروس حين اصابة النظام بعمل رسالة يضمنها ملحقات باسماء وامتدادات خاصة تبين ان الملف هو ملف صوتي وبالتالي لا تبعث الملحقات الشك الى نفس المتلقي .
المخيف ان الفيروس يقوم بالانتشار ومن غير تدخل المستخدم حتى لو لم يقم المستخدم بفتح الملحقات ودون معرفة منه وهنا الخطورة .

* يضيف الفيروس شفرة جافا سكريبت لمستندات HTML التي بدورها تقوم بفتح نافذة متصفح جديده تحتوي على رسالة البريد وفي حال عرض هذه الصفحة من قبل اي جهاز يتعرض للاصابة .

* يقوم الفيروس بأنشاء مساحة على القرص الصلب بالجهاز المصاب ويخصص مساحة لها بكل قسم عليه هذا على نظام ويندوز مي و98 و 95 اما على نظام ويندوز WinNT/2K يقوم الفيروس بعمل سماح للمشاركة واضافة المستخدم الضيف الى ادارة النظام وبالطبع عندها يقوم بنسخ نفسه لاصابة جميع المجلدات ومنها مجلدات التشغيل .

* هنا تقوم الدودة The worm بعمل سكان (فحص ) والبحث عن سيرفرات IIS لاصابتها عن طريق ارسال طلب نقل المجلدات عبر الشبكة مما يؤدي الى فتح TFTP session وتحميل ملف ADMIN.DLL من الجهاز المرسل للطلب وهنا يتم الحصول على العدوى ويبقى الفيروس في التيمب .

* تصاب جميع لملفات التنفيذية EXE بالفيروس .

وبالتالي يقوم الفيروس بنشر نفسه مستغلا القائمة البريدية الموجودة ببرنامج اوت لوك .

كما يمكن ان يقوم الفيروس بنسخ نفسه الى ملفات النظام كملف LOAD.exe ويقوم بأنشاء SYSTEM.INI ليتم تحميله في كل مرة يعاد تشغيل الجهاز :

Shell=explorer.exe load.exe -dontrunold

معلومات اضافية :

يقوم بتغيير قيم الرجيستري :

Registry key values are created/changed to hide files:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Explorer\Advanced\HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Explorer\Advanced\ShowSuperHidden


- A registry key branch is deleted to remove share security under WinNT/2K

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\
lanmanserver\Share\Security


- The worm saves a copy of itself to C:\, D:\, and E:\ as ADMIN.DLL

Note: a valid ADMIN.DLL does exist and is part of the Microsoft FrontPage Server Extentsions functionality


- Filenames for the worm include: ADMIN.DLL, LOAD.EXE, MMC.EXE, README.EXE, RICHED20.DLL, MEP*.TMP.EXE


طريقة الكشف والازالة :

هناك نصيحة بتحميل حزمة التحديثات الاولى والثانية الخاصة ببرنامج انترنت ايكسبلور الاصدار (ver 5.01 or greater) .

القيام فورا بتحديث البرنامج المضاد للفيروسات وعمل فحص للجهاز .



.................... تحياتي .........................