شادي فلسطين
07-31-2005, 02:30 PM
يعتبر هذا الفيروس من الفيروسات الخطيرة المتخصصة في التحكم في الحاسبات التي تصيبها عن بعد, ويعتمد في انتشاره علي عدة طرق:
* الأول:
هو البريد الإلكتروني, حيث يصل الفيروس إلي الحاسب من خلال ملف ملحق بالرسالة الإلكترونية وعند فتح هذا الملف ينشط الفيروس ليصيب الجهاز.
* الثاني:
هو استغلال شبكات الحاسبات الإلكترونية المحلية LAN غير المؤمنة بطريقة صحيحة, حيث يهاجم المجلدات التي لها خاصية المشاركة Sharing ويقوم بتجربة عدد من أسماء المستخدمين وكلمات السر إلي أن يستطيع الدخول علي الحاسب.
* الثالث:
يقوم الفيروس باستخدام برامج تبادل الملفات التي تستخدم بروتوكولFTP والدخول علي Port 135 or 445 لكي يقوم بإسقاط الفيروس داخل الحاسب المستهدف.
*استخدام برنامج الرسائل السريعة MSN Messenger
حيث يقوم بتنزيل ملف باسم HELLMSN.EXE علي الحاسب المصاب ومنه يستطيع الانتشار إلي كل الأشخاص الذين نتحدث معهم باستخدام هذا البرنامج.
الرسالة الإلكترونية للفيروس:
رغم أن الفيروس لا يستخدم شكلا ثابتا للرسالة التي تحتوي علي نسخة منه إلا أننا سنعرض بعض من مواصفات الرسالة الإلكترونية المشبوهة وهي :
في عنوان الرسالة Subject ستجد إحدي الكلمات التالية :
Error
Good day
hello
Mail Delivery System
Server Report
Status
أما جسم الرسالة Body فيكون أحد الأشكال التالية :
Mail transaction failed. Partial message is available.
The original message was included as an attachment.
Here are your banks documents.
يستخدم الفيروس أحد الأسماء التالية للملف الذي يحتوي علي نسخة منه:
body, data, doc, document, file , message , readme, test
يقوم الفيروس بجمع عناوين البريد الإلكتروني التي توجد في الملفات المؤقتة للإنترنت علي الحاسب المصاب ومن خلال دفتر العناوين Windows Address Book WAB ثم يرسل نسخة منه إلي كل عناوين البريد الإلكتروني التي قام بجمعها.
الأثر التدميري للفيروس :
* يقوم الفيروس بزرع برنامج داخل الحاسب تتيح لمطور الفيروس التحكم في الحاسب عن بعد وتنفيذ أي أوامر أو برامج علي الحاسب المصاب.
* يقوم الفيروس بتنزيل تحديث له من علي شبكة الإنترنت وتثبيت الإصدارات الجديدة له علي الحاسب المصاب.
* تنزيل وإرسال الملفات من و إلي الحاسب المصاب.
* يمنع الفيروس اتصال الحاسب المصاب بمواقع الشركات الكبيرة التي تنتج برامج مقاومة الفيروس حتي يمنع المستخدم من تحديث البرنامج الذي يستخدمه, وأيضا يمنعه من الاستفادة من خدمات هذه المواقع في اختبار الفيروسات وإزالتها, عن طريق تقنية Redirect يقوم الفيروس بتحويل اتصال الحاسب بموقع شركة إنتاج برامج مقاومة الفيروسات إلي موقع آخر علي شبكة الإنترنت.
طريقة إزالة الفيروس :
* قم بالضغط علي مفاتيح Ctrl+Alt+Del ومن النافذة التي ستظهر لنا اختر التعامل مع Task Manager أو يمكنك أن تضغط مباشرة علي مفاتيح (Ctrl+Shift+Esc)
* اضغط علي وظيفة Process لفتحها
* ابحث عن برنامجي HELLMSN.EXE و MSGMR.EXE وقم بإيقاف هذين البرنامجين باستخدام مفتاح End Process
* قم بتشغيل برنامج Regedit للتعامل مع ملفات نظام النوافذ Registry Files
* من قائمة التحرير Edit استخدم خاصية البحث Find
* ابحث عن اسم البرنامج msgmr.exe وقم بإلغاء كل الأوامر التي يوجد بها اسم هذا البرنامج.
* اغلق البرنامج وأعد تشغيل الحاسب.
--------------------------------------------------------------------------------
الملخص
اسم الفيروس: W32. Mytob.x
(W32.Mytob.U@mm (Symantec
(Net-Worm.Win32.Mytob.q (Kaspersky
نوع الفيروس: Worm
درجة الخطورة: عالية
درجة الانتشار: متوسط
:تاريخ اكتشاف الفيروس 6/4/2005
الاثر التدميرى: التحكم في الحاسب عن بعد ومنع الوصول إلي بعض مواقع الإنترنت
طريقة الانتشار: عن طريق البريد الإلكتروني والشبكات غير المؤمنة
كيفية نشاط الفيروس: فور تشغيل الملف الملحق بالرسالة أو وصول نسخة من الفيروس لشبكة الحاسبات LAN
نظم التشغيل: Windows NT, 2000, XP
مصدر الفيروس: غير معروف
الفيروس مشفر: غير معروف
* الأول:
هو البريد الإلكتروني, حيث يصل الفيروس إلي الحاسب من خلال ملف ملحق بالرسالة الإلكترونية وعند فتح هذا الملف ينشط الفيروس ليصيب الجهاز.
* الثاني:
هو استغلال شبكات الحاسبات الإلكترونية المحلية LAN غير المؤمنة بطريقة صحيحة, حيث يهاجم المجلدات التي لها خاصية المشاركة Sharing ويقوم بتجربة عدد من أسماء المستخدمين وكلمات السر إلي أن يستطيع الدخول علي الحاسب.
* الثالث:
يقوم الفيروس باستخدام برامج تبادل الملفات التي تستخدم بروتوكولFTP والدخول علي Port 135 or 445 لكي يقوم بإسقاط الفيروس داخل الحاسب المستهدف.
*استخدام برنامج الرسائل السريعة MSN Messenger
حيث يقوم بتنزيل ملف باسم HELLMSN.EXE علي الحاسب المصاب ومنه يستطيع الانتشار إلي كل الأشخاص الذين نتحدث معهم باستخدام هذا البرنامج.
الرسالة الإلكترونية للفيروس:
رغم أن الفيروس لا يستخدم شكلا ثابتا للرسالة التي تحتوي علي نسخة منه إلا أننا سنعرض بعض من مواصفات الرسالة الإلكترونية المشبوهة وهي :
في عنوان الرسالة Subject ستجد إحدي الكلمات التالية :
Error
Good day
hello
Mail Delivery System
Server Report
Status
أما جسم الرسالة Body فيكون أحد الأشكال التالية :
Mail transaction failed. Partial message is available.
The original message was included as an attachment.
Here are your banks documents.
يستخدم الفيروس أحد الأسماء التالية للملف الذي يحتوي علي نسخة منه:
body, data, doc, document, file , message , readme, test
يقوم الفيروس بجمع عناوين البريد الإلكتروني التي توجد في الملفات المؤقتة للإنترنت علي الحاسب المصاب ومن خلال دفتر العناوين Windows Address Book WAB ثم يرسل نسخة منه إلي كل عناوين البريد الإلكتروني التي قام بجمعها.
الأثر التدميري للفيروس :
* يقوم الفيروس بزرع برنامج داخل الحاسب تتيح لمطور الفيروس التحكم في الحاسب عن بعد وتنفيذ أي أوامر أو برامج علي الحاسب المصاب.
* يقوم الفيروس بتنزيل تحديث له من علي شبكة الإنترنت وتثبيت الإصدارات الجديدة له علي الحاسب المصاب.
* تنزيل وإرسال الملفات من و إلي الحاسب المصاب.
* يمنع الفيروس اتصال الحاسب المصاب بمواقع الشركات الكبيرة التي تنتج برامج مقاومة الفيروس حتي يمنع المستخدم من تحديث البرنامج الذي يستخدمه, وأيضا يمنعه من الاستفادة من خدمات هذه المواقع في اختبار الفيروسات وإزالتها, عن طريق تقنية Redirect يقوم الفيروس بتحويل اتصال الحاسب بموقع شركة إنتاج برامج مقاومة الفيروسات إلي موقع آخر علي شبكة الإنترنت.
طريقة إزالة الفيروس :
* قم بالضغط علي مفاتيح Ctrl+Alt+Del ومن النافذة التي ستظهر لنا اختر التعامل مع Task Manager أو يمكنك أن تضغط مباشرة علي مفاتيح (Ctrl+Shift+Esc)
* اضغط علي وظيفة Process لفتحها
* ابحث عن برنامجي HELLMSN.EXE و MSGMR.EXE وقم بإيقاف هذين البرنامجين باستخدام مفتاح End Process
* قم بتشغيل برنامج Regedit للتعامل مع ملفات نظام النوافذ Registry Files
* من قائمة التحرير Edit استخدم خاصية البحث Find
* ابحث عن اسم البرنامج msgmr.exe وقم بإلغاء كل الأوامر التي يوجد بها اسم هذا البرنامج.
* اغلق البرنامج وأعد تشغيل الحاسب.
--------------------------------------------------------------------------------
الملخص
اسم الفيروس: W32. Mytob.x
(W32.Mytob.U@mm (Symantec
(Net-Worm.Win32.Mytob.q (Kaspersky
نوع الفيروس: Worm
درجة الخطورة: عالية
درجة الانتشار: متوسط
:تاريخ اكتشاف الفيروس 6/4/2005
الاثر التدميرى: التحكم في الحاسب عن بعد ومنع الوصول إلي بعض مواقع الإنترنت
طريقة الانتشار: عن طريق البريد الإلكتروني والشبكات غير المؤمنة
كيفية نشاط الفيروس: فور تشغيل الملف الملحق بالرسالة أو وصول نسخة من الفيروس لشبكة الحاسبات LAN
نظم التشغيل: Windows NT, 2000, XP
مصدر الفيروس: غير معروف
الفيروس مشفر: غير معروف