تحذير هام
فيروس خطير جدا يمسح القرص الصلب وجميع روابطه
اذا رأيت هذا الملف امسحه على الفور حتى وإن جاءك من شخص تعرفه
("WTC Survivor" ) وهو تحت اسم برج التجارة العالمي

أخوانى وأخواتى أصدقائى وصديقاتى أعضاء القرووبات جميعاً إليكم هذا التحذير الهام جداً فكلنا يعرف أن الحادى عشر من سبتمبر على الأبواب وقد جائتنى هذه الرسالة المدونة أدناه تحذر من محاولة إستقبال بعض الإيميلات المفخخة بفيروس يحمل عنوان مركز التجارة العالمى يذكرنا بتلك الأحداث التى كادت تعصف بالولايات المتحدة الأميريكية
وإليكم نص هذه الرسالة كما وصلتنى مع رجاء إرسالها لكل من تعرفون تفادياً لهذا الفايروس المدمر

نسأل الله السلامة

Dear All,
During the next several weeks be VERY cautious about opening or launching any
e-mails that refer to the World Trade Center or 9/11 in any way, regardless of who
sent it. PLEASE FORWARD TO ALL YOUR FRIENDS AND FAMILY. FOR THOSE WHO
DON'T KNOW! , "WTC" STANDS FOR THE WORLD TRADE CENTER. REALLY
DANGEROUS BECAUSE PEOPLE WILL OPEN IT RIGHT AWAY, THINKING ITS A STORY
RELATING TO 9/11!
BIGGGG TROUBLE !!!! DO NOT OPEN "WTC Survivor" It is a virus that will erase your
whole "C" drive. It will come to you in the form of an E-Mail from a familiar person. I
repeat, a friend sent it to me, but called and warned me before I opened it. He was not
so lucky and now he can't even start his computer!
Forward this to everyone in your address book. I would rather receive this 25 times
than not at all. So, if you receive an email called "WTC Survivor", do not open it. Delete
it right away! This virus removes all dynamic link libraries (.dll files) from your
computer.
PLEASE FORWARD THIS MESSAGE
Thanks

منقول من الايميل

شكرا كيوت قيرال على هذه اللفته الجيده ................ مع تحياتي


الكناري

العفو أخوي الكناري

شرفت صفحتي بمرورك

تحياتي
أوراق الخريف

عفواًَ اخي أوراق الخريف وهذا الخبر من فتره وجيزه ولكن المضمون مختلف بعض الشيء

لكم التفاصيل .. لنشر الحذر بيني وبين اخي العزيز أوراق الخريف كلا الموضوعين ..

اسم الفيروس : W32.blaster.Worm

الاسم الآخر : W32/lovsan.worm حسب موقع Mcafee

النوع : دودة Worm

تاريخ الاكتشاف : 11 اغسطس 2003م

آخر تحديث لهذا الفيروس : 12اغسطس 2003 الساعة 1.24 صباحاً

مدى الاصابة : 6.176 بايت

انظمة التشغيل المعرضة للإصابة بهذا الفيروس Windows 2000, Windows XP

الأنظمة الآمنة من الاصابة Linux , Macintosh , OS/2 , UNIX

مدى التهديد لهذا الفيروس :

مدى الاصابة كالتالي :

عدد الاصابات : أكثر من 1000 جهاز مصاب (في حين وصل العدد الى 49 جهازاً مصاباً فقط قبل كتابة هذا المقال)

عدد المواقع المصابة : أكثر من 10 مواقع

الانتشار الجغرافي : عالي

السيطرة على التأثير : متوسطة

مستوى طريقة الازالة : سهل

مستوى الدمار كالتالي :

1.عدم استقرارية النظام وربما يسبب تعطيل نظام التشغيل كلية .

2.يغير اعدادات الأمن اذ يقوم بفتح موجه اوامر بعيد ومخفي : CMD.EXE واستغلاله عن طريق المنفذ 4444

وهناك ضرر آخر لهذا الفيروس اذ انه يقوم باستغلال جهازك عزيزي القاريء لهجوم حرمان الخدمة Dos على موقع تحديثات وندوز WINDOWSUPDATE.COM وذلك لمنع الموقع من تزويدك بالرقعة التي سأذكرها لاحقاً .

كيفية الانتشار :

عن طريق المنافذ : TCP 135 , TCP 4444, UDP 69

لذا ينصح بإقفال هذه المنافذ عن طريق الجدار الناري اذا لم يكن يستخدمها اي برنامج على جهازك ( مثل TFTP و DCOM RPC).

الأنظمة المستهدفة : أنظمة التشغيل المصابة بنقطة الضعف DCOM RPC Service فاذا كان جهازك مصاباً بها فقم بتنزيل الرقعة من موقع ميكروسوفت من هذا الرابط :

http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS03-026.asp

فضلاً قم بتحديث برنامج الحماية من الفيروسات او حمل أداة إزالة هذا الفيروس مباشرة من موقع شركة سيمانتيك :

http://securityresponse.symantec.com/avcen...er/FixBlast.exe

ثم قم بتشغيل الجهاز في الوضع الآمن ثم شغل الأداة كالتالي :

1.بعد تحميل الأداة قم باغلاق جميع البرامج

2.اذا كنت مستخدما لـ Windows XP فقم بتعطيل خدمة استعادة النظام وذلك بالضغط بالزر الايمن على ايقونة جهاز الكمبيوتر ثم اختر خصائص ثم System Restore (استعادة النظام) ثم Turn Off System Restore ( اغلاق استعادة النظام )

3.قم بالنقر مرتين على الاداة FixBlast.exe

4.انقر على Start لبدء عملية ازالة الفيروس

5.اذا رأيت رسالة من هذه الاداة بأنها لم تستطع ازالة ملف واحد او اكثر فقم بالتالي :

1.أطفيء الجهاز وانتظر لمدة 30 ثانية

2.اعد تشغيل الجهاز في الوضع الآمن وذلك بضغط زر F8 في بداية التشغيل ثم اختر Safe Mode

3.شغل الأداة من جديد

4.اذا كان جهاز Windows Xp فقم بإعادة تمكين خدمة استعادة النظام .

اما اذا كانت اداة الازالة محفوظة على قرص مرن فاذهب لقائمة ابدأ ثم تشغيل RUN ثم اكتاب a:\fixblast.exe ثم موافق .

كيف يعمل هذا الفيروس ؟

1.اذا شغل هذا الفيروس فإنه يقوم بانشاء Mutex باسم BILLY (للقيام بمنع الوصول الى مصدر واحد الا من عملية واحدة وذلك لزيادة الصعوبة على مكافحات الفيروسات من اكتشاف هذا الفيروس) ثم يخرج من وضع التشغيل .

2. يقوم باضافة القيمة "windows auto update"="msblast.exe" الى مفتاح السجل

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ولهذ1 فانه يشتغل في كل مرة تقوم بتشغيل الجهاز

3.يقوم بحساب بروتوكول الانترنت IP اعتماداً على الخوارزميات التالية و 40 % من الوقت :

أ.يفترض ان بروتوكول الانترنت ( رقم الآي بي ) لجهازك هو IP = A.B.C.D

ب.يعطي رقم برتوكول الانترنت الخاص بك القيمة 0

ج.اذا كان C اكبر من 20 فإنه يقوم بانقاص القيمة الى 20

4. يقوم بحساب بروتوكول الانترنت IP اعتماداً على ارقام كثيرة وعشوائية و 60 % من الوقت :

أ.يفترض ان بروتوكول الانترنت ( رقم الآي بي ) لجهازك هو IP = A.B.C.D

ب.يعطي رقم برتوكول الانترنت الخاص بك القيمة 0

ج.يعطيء A,B,C قيماً عشوائية من 0 وحتى 255

5.يرسل البيانات عبر بروتوكول التحكم والنقل TCP عبر المنفذ 135 لفتح ثغرة في نقطة الضعف DCOM RPC وذلك لإنشاء غلاف تشغيل مخفي بعيد على جهازك CMD.EXE والذي يقوم بالانصات للمنفذ 4444

6. يقوم بالانصات على البروتوكول UDP عبر المنفذ 69 فاذا استقبل طلباً فإنه يرد على MSBLAST.EXE بطريقة ثنائية

7.يرسل أمراً الى جهازك آخر لاعادة الاتصال بالجهاز المصاب لتنزيل وتشغيل الملف MSBLAST.EXE

8.اذا كان الشهر الحالي بعد شهر اغسطس او اذا كان التاريخ الحالي بعد الخامس عشر فإن هذه الدودة تقوم بتنفيذ هجوم الحرمان من الخدمة على موقع تخديثات وندوز حتى نهاية السنة الميلادية .

هذا الفيروس يحتوي على نص لا يعرضه الفيروس بأي حال من الاحوال وفيه اشارة الى تحدذير بيل غيتس صاحب شركة ميكروسوفت من نهب الاموال وتوجيهه باصلاح برامجه !!!

تمت الترجمة من موقع http://www.symantec.com

تحياتي
تقنيات

شكرا لو في اسم شخص انچان نقلته عموما مشكــــــور