فيروس Mydoom.F الجديد يبدأ أيضا بحذف الملفا

الكاتب : badar   المشاهدات : 606   الردود : 5    ‏2004-02-26
      مشاركة رقم : 1    ‏2004-02-26
  1. badar

    badar عضو

    التسجيل :
    ‏2002-05-03
    المشاركات:
    51
    الإعجاب :
    0
    السلام عليكم ورحمة الله...

    كما توقع أغلي الخبراء... نسخة جديدة من الفيروس الجديد Mydoom .. أخذت بالأنتشار بدءا من يوم الأحد...
    وتختلف هذه النسخة عن النسخ القديمة للفيروس.. بأنها تقوم بحذف الملفات المختلفة من الجهاز المصاب.. بدءا من اليوم الأربعاء... فيما يبدو وكأنه هجمة مدبرة وكبيرة...

    هذه النسخة المسماة Mydoom.F ... تقوم بعملين في آن واحد:

    1- فتح بورت يسمح للمخترقين بمهاجمة الجهاز... (وهذا أيضا من خصائص النسخ القديمة للفيروس)...

    2- بدءا من اليوم (الأربعاء الموافق 25/02/2004 ) تقوم هذه النسخة من الفيروس بحذف ملفات المستخدم..

    3- يهاجم الموقعين: www.microsoft.com وكذلك www.riaa.com

    وهذا ما يقوله موقع مكافي Mcafee عن عمل الفيروس:

    " Unlike previous versions of Mydoom, Mydoom.f has the ability to delete files on infected machines. Mydoom.f will also attempt a denial of service attack on www.microsoft.com and www.riaa.com."

    أي بعكس النسخ القديمة للفيروس.. فأن لهذه النسخةالقدرة على حذف الملفات من الأجهزة المصابة.. وكذلك مهاجمة الموقعين : www.riaa.com و- www.microsoft.com

    وكذلك:

    "Once the worm has infected a PC, it searches the local hard drive and
    deletes image, movie, Excel, Word and other files with the extensions [bmp, avi, jpg, sav, xls, doc, mdb]. Mydoom.f rapidly emails itself to email addresses it steals from the infected machine—spoofing (faking) the "From: Field". Caution: Infected emails can come from someone you know.


    أي ان الفيروس يقوم بالبحث وحذف الملفات التي بأمتداد bmp, avi, jpg, sav, xls, doc, mdb .. وكذلك يرسل نفسه عن طريق الأيميل الى القائمة المراسلة في البريد الألكتروني...

    وفي هذه الصفحة تفاصيل أوفى عن النسخة الجديدة:

    http://us.mcafee.com/virusInfo/defa...hcName=mydoom_f


    كيف تحافظ على جهازك من الأصابة بالفيروس؟

    ببساطة.. لا تقم بفتح أي رسالة فيها مرفق تشك فيه.. خاصة أذا كان عنوان الرسالة مريبا ومثيرا للشك .. مثلا أن يخبروك : أن حسابك البنكي قد دخل فيه مليون دولار
    ويكون أمتداد الملف المرفق عادة بصيغة ZIP ولكن من الممكن أن يكون أيضا بصيغ أخرى مثل: .cmd أو bat أو pif أو com أو scr أوexe !!!

    كيف تعرف أن جهازك مصاب؟؟

    ستشاهد رسالة بمثل هذه الصيغة:

    "File is Corrupted"
    أو "Unable to open specified file"
    أو "File cannot be opened"


    ما العمل في حالة الأصابة ؟؟

    هنا الحل الذي يعرضه موقع شركة سيمانتيك لهذه النسخة من الفيروس:

    http://securityresponse.symantec.co....f@mm.html?Open

    وطبعا ليس أسهل من التعامل مع الأدوات ... فيمكنكم تحميل هذه الأداة... للتخلصوا من الفيروس :

    http://www.f-secure.com/tools/f-mydoomf.exe
    أو من هنا:
    ftp://ftp.f-secure.com/anti-virus/tools/f-mydoomf.exe
    أو هنا:
    ftp://ftp.f-secure.com/anti-virus/tools/f-mydoomf.zip
    أو هنا:
    http://www.f-secure.com/tools/f-mydoomf.zip

    فقط قم بتشغيل الأداة وهي ستقوم بالمطلوب !

    منقول للاستفادة
     
  2.   مشاركة رقم : 2    ‏2004-02-26
  3. العمراوي

    العمراوي مشرف سابق

    التسجيل :
    ‏2002-11-24
    المشاركات:
    7,510
    الإعجاب :
    4
    مشكووور على الموضوع القيم .,.,.,.,

    والتحذير وصل .,.,.,.,
     
  4.   مشاركة رقم : 3    ‏2004-02-26
  5. الصيني

    الصيني عضو فعّال

    التسجيل :
    ‏2003-01-07
    المشاركات:
    849
    الإعجاب :
    0
    شكرا اخي علي التنبيه المهم
    ..............
    الان جاري فحص الجهاز........
     
  6.   مشاركة رقم : 4    ‏2004-02-26
  7. نجيب المجيدي

    نجيب المجيدي عضو فعّال

    التسجيل :
    ‏2003-12-08
    المشاركات:
    527
    الإعجاب :
    0
    شكراً جزيلاً أخي وجزاك الله كل خير
     
  8.   مشاركة رقم : 5    ‏2004-02-28
  9. badar

    badar عضو

    التسجيل :
    ‏2002-05-03
    المشاركات:
    51
    الإعجاب :
    0
    لاشكر عل واجب يااصدقائي
     
  10.   مشاركة رقم : 6    ‏2004-02-28
  11. المنتصر

    المنتصر عضو متميّز

    التسجيل :
    ‏2004-02-01
    المشاركات:
    1,073
    الإعجاب :
    0
    تحصد الدودة عناوين البريد من دفتر العناوين ثم تنتقل من الملفات الى القرص الصلب وهي اما تعد ملفاً داخل مجلد الملفات المؤقتة TEMP FOLDER ثم تشغل الـ NO TEPAD ليعرض المحتويات او تعرض واحدة من الرسائل التالية:


    UNABLE TO OPEN SPECIFIED FILE


    FILE CANNOT BEOPEND


    FILE CORRUPTED


    احتيالات الماي دوم اف يستخدم عدداً من عناوين البريد الالكتروني المختارة عشوائيا في خانتي (TO) و(FROM) بقدر ما تختار ايضا عنوان الموضوع بعشوائية والرسالة التي توزع هذه الدودة يحمل الملامح التالية:


    SUBJECT LINES


    TEST


    HI


    HELO


    RETURNED MAIL


    CONFIRMATION REQUIRED


    CONFIRMATION


    REGISTRATION CONFIRMATION


    ALEASE REALV


    PLASE READ


    وغير ما سبق الكثير في عنوان الموضوع أما نص الرسالة فيكون كالتالي:


    MASSAGE TEXTS


    TEST


    DETAILS ARE IN THE ATTACHED DOCUMENT.


    YOU NEED MAICROSOFT OFFICE TO OBEN IT


    SEE THE ATTACHED FILE FOR DETAILS


    PLEASE SEE THE ATTACHED FILE FOR DETAILS


    THE DOCUMENT WAS SENT IN COMPRESSED FORMAT


    CHECK THE ATTACHED DOCUMENT


    EVERYTHING OK?


    وغير ذلك الكثير ايضا وليكن بعض من أمثلة أسماء الملفات المرفقة:


    ATTACHMENT FILENAMES


    MSG


    DOC


    DOCUMENT


    README


    TEXT


    FILE


    DATA


    TEST


    ظهر كذلك نوع جديد من التروجانات اسمه KEYHOST-A ولم تستطع شركات مكافحة الفيروسات وضع وصف محدد لملامحه حتى الآن كما انها تشك في كونه تروجان من الأساس.


    دودة النت سكي اصدرت نسخة جديدة هي NETSKY-B وهي تنتشر ايضا عبر البريد الالكتروني والشبكات المشتركة ثم تنسخ نفسها داخل مجلد النوافذ باسم SERVICES.EXE ومن اجل ان تعمل تلقائيا بمجرد بدء النوافذ تقوم بتكوين اسم الدخول التالي:


    HKLM/SOFTWARE/MICROSOFT/


    WINDOWS/CURRENT VERSION/RUM/SERVICE=


    C:LLWINDOS


    HSERVICES.EXE-SERV


    والدودة تبحث في درايفر C وحتى Z وتحاول نسخ نفسها داخل المجلدات بأسماء تحتوي نسق SHARE أو SHAREING وأسماء الملفات المستخدمة من قبل الدودة لنسخ نفسها على المجلدات المشتركة هي:


    angels.pif


    cool screensaver.scr


    dictionary.doc.exe


    dolly_buster.jpg.pif


    doom2.doc.pif


    e-book.archive.doc.exe


    e.book.doc.exe


    eminem - lice my pussy.mb3.pif


    hardcrore porn.jpg.exe


    how to hack.dok.exe


    matrix.scr


    max payne 2.crack.exe


    nero.7. exe


    office - crack.exe


    photoshop 9 crack.exe


    porno.scr


    programming basice.doc.exe


    serial.txt.exe


    *** *** *** *** .doc.exe


    strippoker.exe


    virii.scr


    win longhorn. doc.exe


    winxp- crack.exe


    وهي قد تصل في رسالة الكترونية تحمل الخصائص التالية:


    subject line:randomly


    chosen from unknown


    fake


    stolen


    information


    warning


    something for you


    read it immediately


    hello


    text:randomly chosen


    from something is fool


    Message


    something is going wrong


    you are bad


    you try to steal


    you feel the same


    you earn money


    thats wrong


    following filenames with


    a double file extension-


    Attached file:eek:ne of the


    misc


    party


    disco


    part2


    mail2


    object


    dinner ranking


    هناك أيضاً نسخة جديدة من تروجان دوس سمال وهو DDoss small-B وهو يستغل رفض الموقع للهجوم الفيروسي لينفض ويشغّل نفسه أوتوماتيكياً عند بدء النوافذ ثم ينسخ نفسه على ملف win sys. exe في مجلد النوافذ ويضيف اسم الدخول


    التالي:


    hklm/softwardmicrosoft/windows


    / cworentversion\run\winsys


    دودة جديدة ظهرت أيضاً وهي تانكس ايه Tanx-A وتستخدم البريد الإلكتروني لتنتشر وهي تصل في رسالة تحمل الملامح التالية:


    Subject line: ID®®.thanks


    Message text: Yours ID


    Attached file: exe


    The address of the sender is spoofed.


    عندما يعمل الملف المرفق المصاب تقوم تانكس ايه بتشغيل نفسها داخل مجلد النوافذ باسم au.exe وتغير اسم الدخول الى التالي ليعمل عند تشغيل النوافذ:


    HKCU\Software\Windows\CurrentVersion\


    Run\au.exe=\au.exe


    وتعود الأغوبوت إلى الأضواء مرة أخرى بنسخة جديدة هي Agobot/cw وهي هذه المرة تجمع بين كونها دودة شبكات وتروجان أبواب خلفية، حيث تنسخ نفسها داخل الشبكات المشتركة ذات أسماء المرور الضعيفة وتحاول أن تنتشر في الحواسيب مستخدمة، أما الـ DcoMrpc والـ PRC الضعيفة.


    وهذه الأماكن الضعيفة تسمح للدودة أن توزع شيفرتها على الحواسيب المستهدفة مع مميزات مستوى كل نظام وعندما تعمل الدودة لأول مرة تنسخ نفسها على نظام النوافذ بملف اسمه winpn32.exe ثم تعد اسمي الدخول التاليين:


    HKLM\SOFTWARE\Microsoft\Windows\CurrentVer


    sion\Run\Diagnostic Agent= diagent/exe


    HKLM\SOFTWARE\Microsoft\Windows\CurrentVer


    sion\Runn Services\Diagnostic Agent= diagent/exe


    الأغوبوت سي دبليو تتصل بخادم الـ IRC المتحرك ثم تنضم الى قناة محددة، أما وظيفة الأبواب الخلفية للدودة فتستطيع حينئذ أن تدخل بواسطة مهاجم يستخدم شبكة الـ IRC والدودة تحاول أيضاً تدمير وإخفاء عدد كبير من برامج الحماية الملحقة. وأخيراً لدينا نسخة جديدة أيضاً من دودة الديدهات هي Dead hat-B التي تنتشر عبر ملف Soul Seek للشبكات المشتركة Msgsrv32.exe ويؤسس اسم الدخول التالي الذي يعمل مع بداية النوافذ تلقائياً:


    HKLM\SOFTWARE\Microsoft\Windows\


    Currentversion\Run\msgsrv32
     

مشاركة هذه الصفحة