عاجل ::::::: فيروس جديد

الشركات الأمنية تحذر من دودة W32/SirCam



الرياض@ نت: حمد البدراني

رفعت الشركات الأمنية المتخصصة في مكافحة الفيروسات من تصنيف الفيروس الجديد W32/SirCam@MM الى الدرجة الأعلى في الخطورة بعد أن كان مصنفا في بداية ظهوره ما بين قليل ومتوسط الخطورة واختلفت في تصنيفه أن كان فيروسا Virus أو دودة بريدية Worm أو بابا خلفيا Backdoor.
و أشارت عدة مواقع على شبكة الإنترنت أن الدودة الجديدة والتي تصيب مستخدمي البريد الإلكتروني فور فتحهم للملف المرفق مع الرسالة المصابة والتي تصل عشوائيا لأي مستخدم على الإنترنت عن طريق التعرف عليه من خلال قائمة أو دفتر عناوين Address Book في أحد الأجهزة المصابة لتقوم تلك الدودة تلقائيا بإرسال نسخة منها إلى أولئك المسجلة عناوينهم البريدية في دفتر عناوين الجهاز المصاب وبذلك تعمل على الانتشار السريع والعشوائي.

أشكال عديدة للفيروس

وقد تلقت الرياض @ نت خلال اليومين الماضيين عدة رسائل بريدية مصابة بهذا الفيروس السريع الانتشار من خلال رسائل قادمة من بعض القراء الذين قاموا بتسجيل العناوين البريدية الإلكترونية في قوائم البريد الخاص بهم.
ويلاحظ في تلك الرسائل القادمة من أجهزة مصابة بهذه الدودة الفيروسية أنها تقوم بانتحال أسماء ملفات موجودة في الجهاز وتقوم بالكتابة عليها بنسخ من نفس الفيروس وفور قيام المتلقي بفتح الملف المرفق الذي يكون عادة على هيئة ملف تنفيذي LNK أو EXEأو BAT فانه بدوره سيصاب بالفيروس الجديد.


وتتراوح حجم الملفات المرفقة ما بين 200 كيلو بايت إلى 5 كيلو بايت فقط واغرب ما في الأمر أن الفيروس يقوم بالكتابة فوق ملفات مثل الوورد أو الصور ليحولها إلى ملفات exe أو bat .
وتستفيد تلك الدودة المكتوب بلغة الدلفي Delphi من وجود ثغرة أمنية قاتلة في برنامج البريد الإلكتروني الخاص بشركة مايكروسوفت وهو برنامج الاوت لوك "Outlook Express" عن طريق الاستفادة من دفتر العناوين البريدية في البرنامج "Address Book" وبالتالي النفاذ إليها وإرسال رسائل إليكترونية إلي المسجلين فيه بشكل تلقائي عن طريق بروتوكول إرسال الرسائل الإلكترونية SMTP ومن دون علم المستخدم القليل الخبرة.


وفور تلقي المستخدم الفيروس وتفعليه في جهازه فانه سيلاحظ ظهور بعض المشاكل في جهازه ومن بينها عدم فتح الاختصارات الموجودة للبرامج سواء في القوائم أو تلك الموجودة على سطح المكتب وسيجد أيضا أن الفيروس قام بتسجيل نفسه في سجل النظام "Registry Editor" وفي ملف تحميل موارد النظام Autoexec.bat .

طرق عديدة لإلغاء الفيروس

ويبقى السؤال عن كيفية إزالة الفيروس الجديد وللإجابة نشير هنا إلى أن عددا من المواقع المتخصصة قد قامت بتحميل رقعة برمجية Patch تقوم بإعادة حالة النظام إلى سابق عهده قبل الإصابة به فعلى سبيل المثال يمكن تحميل ملفين من موقع شركة تريند مايكرو الشهيرة ببرنامج "Pc-cillin" عبر الوصلة التالية
www.antivirus.com/vinfo/security/fix_sircam.reg
وهي رقعة برمجية لاصلاح ملفات تسجيل النظام المعطوبة بسبب الفيروس واسمها fix_sircam.reg إضافة إلى تحميل رقعة برمجية أخرى على الوصلة التالية
www.antivirus.com/vinfo/security/fix_sircam.com
لاصلاح ملفات أوامر النظام واسمها fix_sircam.com.


ويمكن العثور على الفيروس المدمر الذي يمكن وصفه بأنه الأخطر الذي بدأ ينتشر بسرعة في المملكة وربما في المنطقة العربية عن طريق محرر تسجيل النظام الذي يمكن الوصول إليه عن طريق start>run ابدا وتشغيل ومن ثم كتابة أمر regedit او تحرير سجل النظام لتجده قابعا في مفتاح التسجيل التالي
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
وستجده في الجانب الأيمن في مفتاح التسجيل تحت العنوان التالي Driver32 كما ستعثر عليه في الجانب الأيسر من مجلدات تسجيل النظام تحت المفتاح التالي HKLM\Software\SirCam وما عليك في كلا الحالتين الى إلغاء تلك المفاتيح الخاصة به ومتابعة البحث في المفتاح التالي HKCR\exefile\shell\open\command
والتدقيق في الجانب الأيمن للعثور على المعادلة التالية
C:\Recycled\SirC32.exe""%1"%*"
ويجب هنا تعديلها لتكون كالتالي "%1"%*" ومن ثم إغلاق محرر سجل النظام.
وقد يصادف المستخدم مشكلة في عدم تنفيذ أمر فتح محرر تسجيل النظام regedit لان الفيروس يقوم بتغيير مسارات المجلدات والبرامج ويقوم في بعض الحالات بإلغاء الاختصارات الخاصة بها وتعطيلها وتظهر رسائل تشير إلى عدم العثور عليها او رسائل أخطاء الويندوز الشائعة ولذلك قد يحتاج المستخدم إلى إجراء آخر لمعالجة عدم تشغيل محرر تسجيل النظام عن طريق الذهاب إلي
start/programs/MS-DOS Prompt
أي ابدأ\برامج\محث MS-DOS
ومن هناك عليك القيام بتغيير اسم برنامج محرر سجل النظام من regedit.exe إلى regedit.com عن طريق كتابة الأمر التالي من داخل مسار الويندوز rename regedit.exe regedit.com لتغيير مسماه من exe إلى com مع مراعاة المسافات في الأمر ومن ثم يمكنك تشغيله بالطريقة التقليدية السابق ذكرها والأمر.
ولإلغاء الفيروس بشكل نهائي ما عليك الآن إلى التوجه عبر محرر الدوس لكتابة الأمر التالي من C: وليس من الويندوز كما في الأمر السابق ويمكن التحول فقط عن طريق كتابة أمر التحول CD.. للوصول إلى المؤشر C:\>يكون الأمر كالتالي c:\edit autoexec.bat مع ملاحظة المسافة بين edit و autoexec.bat وستجد سطرا أو عدة اسطر برمجية تحتوي على المعادلة التالية
" @win\recycled\Sirc32.exe "
وما عليك إلا إلغاء ذلك السطر أو الأسطر نهائيا ومن ثم حفظ التغييرات. وهناك عدة طرق أخرى لمعالجة الفيروس ولكن نكتفي بذكر تلك الطرق لسهولتها من جهة وخشية من قيام القراء باعطاب أجهزتهم عند العمل على محررات وأوامر حساسة.
وعموما يبقى الأهم من ذلك كله لمن حالفه الحظ ولم يصاب جهازه بهذا الفيروس الخطير الذي تؤكد عدد من الشركات انه يقوم في حالة مصادفته ليوم السادس عشر من شهر أكتوبر بإلغاء جميع الملفات المحفوظة في النظام المصاب هو القيام فورا بتحديث النظام سواء بالرقع البرمجية المجانية وتحديث برامج مكافحة الفيروسات المستخدم لديه والذي عملت فيه الشركات المنتجة إلى إصدار ترقيات مجانية لتحميل الملفات الخاصة بالتخلص من هذا الفيروس الذي جاء خلال اقل من أسبوع من ظهوره كأكثر الفيروسات المعروفة انتشارا وخطورة.