20 / 09 / 2001, 45 : 03 AM | #1 | |||||||
عضو شرف
شكراً: 0
تم شكره 0 مرة في 0 مشاركة
|
تحذير فيروس W32/Nimda خطير جدا وبدأ بالانتشار
السلام عليكم ورحمة الله
اخواني اخواتي انتشر الان فيروس يصنف انه خطير جدا ويدعى W32/Nimda وسوف اتناول جميع المعلومات الخاصة بالفيروس والذي بدأ بالانتشار : الانظمة المعرضة للاصابة بالفيروسW32/Nimda : جميع انظمة الويندوز Win9x/NT/2000/ME طريقة الاصابة : الفيروس بدء بالانتشار عن طريق الايميل وبالطبع سوف يصلك من عناوين انت تثق بها كايميل صديقك او اخوك ............ الخ . كما يمكن ان ياخذ الفيروس شكل ايقونة بصفحة HTML وياتي على شكل ملحقات attachment بالرسالة القادمة لك من صديقك ومصدر الخطورة ان صديقك او اخيك تاتي الرسالة منه من غير علم ومعرفه ان جهازه مصاب بالفيروس والفيروس يقوم بارسال نفسه دون علمه الى القائمة التي لديه . لذا على جميع من يستخدم برنامج اوتلوك ان يقوم بعمل الاتي : disable the Preview Pane كون هذه الخاصية تقوم بتفعيل الفيروس . ماذا يفعل هذا الفيروس : العمل الرئيسي للفيروس اولا وببساطة هو الانتشار على الانترنت واصابة اكبر عدد ممكن من المستخدمين . * يقوم الفيروس حين اصابة النظام بعمل رسالة يضمنها ملحقات باسماء وامتدادات خاصة تبين ان الملف هو ملف صوتي وبالتالي لا تبعث الملحقات الشك الى نفس المتلقي . المخيف ان الفيروس يقوم بالانتشار ومن غير تدخل المستخدم حتى لو لم يقم المستخدم بفتح الملحقات ودون معرفة منه وهنا الخطورة . * يضيف الفيروس شفرة جافا سكريبت لمستندات HTML التي بدورها تقوم بفتح نافذة متصفح جديده تحتوي على رسالة البريد وفي حال عرض هذه الصفحة من قبل اي جهاز يتعرض للاصابة . * يقوم الفيروس بأنشاء مساحة على القرص الصلب بالجهاز المصاب ويخصص مساحة لها بكل قسم عليه هذا على نظام ويندوز مي و98 و 95 اما على نظام ويندوز WinNT/2K يقوم الفيروس بعمل سماح للمشاركة واضافة المستخدم الضيف الى ادارة النظام وبالطبع عندها يقوم بنسخ نفسه لاصابة جميع المجلدات ومنها مجلدات التشغيل . * هنا تقوم الدودة The worm بعمل سكان (فحص ) والبحث عن سيرفرات IIS لاصابتها عن طريق ارسال طلب نقل المجلدات عبر الشبكة مما يؤدي الى فتح TFTP session وتحميل ملف ADMIN.DLL من الجهاز المرسل للطلب وهنا يتم الحصول على العدوى ويبقى الفيروس في التيمب . * تصاب جميع لملفات التنفيذية EXE بالفيروس . وبالتالي يقوم الفيروس بنشر نفسه مستغلا القائمة البريدية الموجودة ببرنامج اوت لوك . كما يمكن ان يقوم الفيروس بنسخ نفسه الى ملفات النظام كملف LOAD.exe ويقوم بأنشاء SYSTEM.INI ليتم تحميله في كل مرة يعاد تشغيل الجهاز : Shell=explorer.exe load.exe -dontrunold معلومات اضافية : يقوم بتغيير قيم الرجيستري : Registry key values are created/changed to hide files: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Explorer\Advanced\HideFileExt HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Explorer\Advanced\Hidden HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Explorer\Advanced\ShowSuperHidden - A registry key branch is deleted to remove share security under WinNT/2K HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ lanmanserver\Share\Security - The worm saves a copy of itself to C:\, D:\, and E:\ as ADMIN.DLL Note: a valid ADMIN.DLL does exist and is part of the Microsoft FrontPage Server Extentsions functionality - Filenames for the worm include: ADMIN.DLL, LOAD.EXE, MMC.EXE, README.EXE, RICHED20.DLL, MEP*.TMP.EXE طريقة الكشف والازالة : هناك نصيحة بتحميل حزمة التحديثات الاولى والثانية الخاصة ببرنامج انترنت ايكسبلور الاصدار (ver 5.01 or greater) . القيام فورا بتحديث البرنامج المضاد للفيروسات وعمل فحص للجهاز . .................... تحياتي ......................... |
|||||||
|
||||||||
21 / 09 / 2001, 21 : 08 AM | #2 | |||||||
عضو شرف
شكراً: 0
تم شكره 0 مرة في 0 مشاركة
|
تحياتي موعود
مشكور على المعلومة والله يحمينا جميع يالغالي تحياتي المسافر.. |
|||||||
|
||||||||
22 / 09 / 2001, 49 : 01 AM | #3 | |||||||
عضو شرف
شكراً: 0
تم شكره 0 مرة في 0 مشاركة
|
السلام عليكم ورحمة الله
اخي المسافر
امين اجمعين تسلم شكرا لك . .................... تحياتي .................... |
|||||||
|
||||||||
مواقع النشر (المفضلة) |
الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1) | |
|
|
المواضيع المتشابهه | ||||
الموضوع | كاتب الموضوع | المنتدى | مشاركات | آخر مشاركة |
برنامج لاصلاح الاضرار وازالة فيروس Nimda | mo3od | حماية الاجهزة | 3 | 19 / 02 / 2004 58 : 12 PM |
برنامج لاصلاح الاضرار وازالة فيروس Nimda | mo3od | شرح البرامج | 2 | 02 / 10 / 2001 24 : 06 PM |
(فيروس خطير ) للمعلوميه | العاثر | بوحْ الشعِر والنثر .. | 4 | 03 / 06 / 2001 26 : 11 PM |
(فيروس خطير ) للمعلوميه | العاثر | ملتقى الأصدقاء | 1 | 03 / 06 / 2001 45 : 12 PM |
(فيروس خطير) للمعلوميه | العاثر | منتدى computer العام | 1 | 03 / 06 / 2001 45 : 01 AM |