سبتمبر موعد انتحارها

10 سبتمبر موعد انتحارها
W23.sobig.F@mm دودة خطرة

لاحظنا في مقهى الإنترنت سرعة انتشار الفيروس الدودة W23.sobig.F@mm وذلك من خلال قوائم البريد الإلكترونية العربية التي تصل إلينا أيضا، مما دفعنا إلى كتابة هذه المقالة، والتنويه بخطورة هذا الفيروس وكيفية التغلب عليه·
وبما أن الدودة المذكورة تنتشر عبر مرفقات البريد الإلكتروني منطلقة من موقع إباحي فان أول ما لاحظناه هو أن هذه المرفقات تحمل الامتداد التالي بالدرجة الأولى pif · ومن ثم الامتدادات الأخرى dbx و eml و hlp و htm و html و wab و txt
كما لاحظنا أن الدودة تستخدم العنوان:
admin@internet.com أما موضوع الرسالة التي لاحظناها كثيرا، فهو Re: Details و Re: My details و Re: Thank you وThank you وYour details كما لاحظنا عنوان موضوع الرسالة التالي:
screensaver Re: Wicked
* أما بدن الرسالة الحاملة للدودة فيحتوي على إحدى العبارتين التاليتين: See the attached file for details أو Please see the attached file for details.
* أما الملف المرفق بالرسالة الالكتروني فيحمل أحد العناوين التالية
*your_document.pif
*document_all.pif
*thank_you.pif
*your_details.pif
*details.pif
*document_6449.pif
*application.pif
*wicked_scr.scr
* movie5400.pif

انتحار الدودة

يذكر أن الدودة W23.sobig.F@mm ستبقى فعالة وتلحق الأذى بالأجهزة وخصوصا تلك التي تستخدم تقنية ADSL حتى 10 سبتمبر المقبل، وآخر يوم لانتشار الدودة هو 9 سبتمبر وبعد ذلك تموت·
تصيب الدودة جميع إصدارات وندوز دون استثناء، ولكنها لا تصيب لينكس أو ماكنتوش أو يونيكس أو OS/2

الوقاية

اذا كنت تقوم بتحديث برنامج مقاومة الفيروسات، بصورة مستمرة، فلا خوف من الإصابة بالدودة المذكورة، لأن التحديث يعزز برنامج المقاومة بالجرعة المناسبة لردع الدودة، وفي حال تعرض جهاز للإصابة، فقم بما يلي:
أولا: 1- قم بتعطيل وظيفة استعادة النظام :
System Restore إذا كنت تستخدم وندوز اكس بي أو وندوز مي· 2- تنزيل الحزمة البرمجية اللازمة من موقع الشركة المنتجة لبرامج مقاومة الفيروسات، وتقدم سيمانتك حزمة مجانية على العنوان التالي www.wmsoftware.com/free.htm
2- إذا كنت تستخدم وندوز 95 او 98 أو مي فاستعمل الوضع الآمن Safe mode للدخول واعادة بدء تشغيل الكمبيوتر· واذا كنت تستخدم وندوز 2000 أو وندوز اكس بي فقم بإيقاف عملية الاختراق من خلال Ctrl+Alt+Del ثم اختر التبويبة processes من Manager Taskوابحث عن الملف Winppr23.exe ثم قم بإلغائه 3- قم بعملية مسح للكمبيوتر بحثا عن الدودة وقم بحذف الملفات المصابة·
ثانيا: إزالة القيمة Value من الريجستري: تقوم الدودة Win23.Sobig.F@mm بنسخ نفسها في الريجستري على النحو التالي: 1- على الهيئة %Windir%\winppr23.exe . ولكنها 2- تنشئ الملف %Windir%\winstt23.dat كما 3- تضيف القيمة STrayX"="%Windir%\winppr23.exe/sinc إلى مفتاح الريجستري التالي:
HKEY_CURRENT_USER\Sof
tware\Microsoft\Windows\CurrentVersion\Run
بحيث تبدأ الدودة عملها في كل مرة تبدأ تشغيل وندوز· لذا ينبغي الدخول إلى الريجستري من خلال Start Run regedit ثم إلى:
HKEY_LOCAL_MACHINE\SOFTW
ARE\Microsoft\Windows\CurrentVersion\Run
ثم الضغط بيمين الماوس فوق القيمة:
"TrayX"="%Windir%\winppr23.exe /sinc"
واختيار أمر الالغاء Delete وكذلك الدخول الى:
HKEY_CURRENT_USER\Sofware
Microsoft\Windows\CurrentVersion\Run
وإلغاء القيمة:
"TrayX"="%Windir%\winppr23.exe /sinc"
ثم الخروج من الريجستري، واعادة تشغيل الكمبيوتر بالوضع العادي·
؟؟ ملاحظة مهمة: التعامل مع الريجستري يحتاج إلى خبرة ودراية لأن أي خطأ قد يؤدي إلى توقف النظام بالكامل· لذا يستحسن أن يقوم بها شخص قادر على حفظ نسخة احتياطية للريجستري والتعامل معها بكفاءة·

من هذا الموقع تستطيع ان تاخذ ال fixtools للفيروس. وقد تلاحظو ثلاث فيروسات جدد بعد البلاستر.. W32.Sobig.F@mm W32.Dumaru@mm W32.Welchia.Worm
http://securityresponse.symantec.com/avcenter/tools.list.html

منقووووووووول

تحياتي