أبو مصعب المكي
05-06-2004, 12:10 PM
السلام عليكم ورحمة الله وبركاته
الأخوه الاعزاء أعضاء التبيان وزواره
دودتان جديدتان يغزون الأجهزه بصمت ويحيرون النورتن انتي فايورس وغيره من برامج الحمايه نرجوا من الله أن يبعد عنكم شرهما في هذا الموضوع
سنشرح كل واحد على حده وكيفية ازالته
1- W32.Sasser.B.Worm
وصف الدودة وطريقة الانتقال:
تقوم هذه الدودة باستغلال ثغرة في ملف LSASS.exe أحد ملفات نظام وندوز , بحيث يدخل أمر إلى هذا الملف التنفيذي فيعتم على الانتي فايروس على انه امر شرعي من قبل ملف مصرح به
تنتقل هذه الدودة عن طريق ارقام الايبي بشكل عشوائي .
مضار هذه الدودة :
تقوم هذه الدودة بنفس عمل دودة بلاستر المزعجه , وهو اعادة تشغيل الجهاز وتعتبر دودة مطورة للاصدار السابق.
طريقة ازالتها :
1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل
http://upload.drawers.ws/store2/image001.jpg
بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق
http://upload.drawers.ws/store2/image002.jpg
2- اضغط على البداية او Start من ثم تشغيل أو Run اكتب في الخانة regedit ومن ثم اذهب إلى هذا المسار
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
ستجد على الجهة اليسرى بالنسبة للويندوز العربي أو اليمنى للانجليزي هذا المدخل كما هو موضح في الصورة ادناه قم بالضغط على الزر الايمن وحذفه
http://upload.drawers.ws/store2/image003.jpg
3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه.
4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص
5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى.
لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html
2- W32.Nimos.Worm
وصف الدودة وطريقة الانتقال ومضارها :
هذه الدودة أخطر من سابقتها وأكثر تعقيداً في طريقة برمجتها هذه الدودة تقوم بتخزين كل مايكتب من رسائل وكلمات مرور وتقوم بارسالها لمبرمجي هذه الدودة وتنتقل عن طريق الرسائل البريدية والشبكات وهي كسابقتها في التسلل بصمت عن طريق دمج اوامرها مع نفس الملف Lsass.exe بنفس الطريقة السابقة الذكر.
طريقة ازالتها :
1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل
http://upload.drawers.ws/store2/image001.jpg
بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق
http://upload.drawers.ws/store2/image002.jpg
3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه.
4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص
5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى.
لمن أراد ازالة الدودة من الرجستري يدويا وهذه الخطوة تتطلب خبرة في استخدام الرجستري ولن يحتاجها من يقوم بالخطوات السابقة هي كالتالي :
Click Start, and then click Run. (The Run dialog box appears.)
b. Type regedit
Then click OK. (The Registry Editor opens.)
c. Navigate to the key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersionSystem Handler
d. In the left pane, delete the subkey:
System Handler
e. Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
f. In the right pane, delete the value:
"System Handler"="%Windir%\System\LSASS.EXE"
g. Do one of the following:
· If you are running Windows NT/2000/XP, proceed to step j.
· If you are using Windows 95/98/me, proceed to step h.
h. Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunService
i. In the right pane, delete the value:
"System Handler"="%Windir%\System\LSASS.EXE"
j. Navigate to the registry key:
HKEY_CLASSES_ROOT\exefile\shell\open\command
k. In the right pane, change the default value to: "%1" %*
l. Exit the Registry Editor.
لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط
http://securityresponse.symantec.com/avcenter/venc/data/w32.nimos.worm.html
وصلني بالبريد فأحببت أن أنقله للفائدة
الأخوه الاعزاء أعضاء التبيان وزواره
دودتان جديدتان يغزون الأجهزه بصمت ويحيرون النورتن انتي فايورس وغيره من برامج الحمايه نرجوا من الله أن يبعد عنكم شرهما في هذا الموضوع
سنشرح كل واحد على حده وكيفية ازالته
1- W32.Sasser.B.Worm
وصف الدودة وطريقة الانتقال:
تقوم هذه الدودة باستغلال ثغرة في ملف LSASS.exe أحد ملفات نظام وندوز , بحيث يدخل أمر إلى هذا الملف التنفيذي فيعتم على الانتي فايروس على انه امر شرعي من قبل ملف مصرح به
تنتقل هذه الدودة عن طريق ارقام الايبي بشكل عشوائي .
مضار هذه الدودة :
تقوم هذه الدودة بنفس عمل دودة بلاستر المزعجه , وهو اعادة تشغيل الجهاز وتعتبر دودة مطورة للاصدار السابق.
طريقة ازالتها :
1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل
http://upload.drawers.ws/store2/image001.jpg
بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق
http://upload.drawers.ws/store2/image002.jpg
2- اضغط على البداية او Start من ثم تشغيل أو Run اكتب في الخانة regedit ومن ثم اذهب إلى هذا المسار
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
ستجد على الجهة اليسرى بالنسبة للويندوز العربي أو اليمنى للانجليزي هذا المدخل كما هو موضح في الصورة ادناه قم بالضغط على الزر الايمن وحذفه
http://upload.drawers.ws/store2/image003.jpg
3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه.
4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص
5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى.
لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html
2- W32.Nimos.Worm
وصف الدودة وطريقة الانتقال ومضارها :
هذه الدودة أخطر من سابقتها وأكثر تعقيداً في طريقة برمجتها هذه الدودة تقوم بتخزين كل مايكتب من رسائل وكلمات مرور وتقوم بارسالها لمبرمجي هذه الدودة وتنتقل عن طريق الرسائل البريدية والشبكات وهي كسابقتها في التسلل بصمت عن طريق دمج اوامرها مع نفس الملف Lsass.exe بنفس الطريقة السابقة الذكر.
طريقة ازالتها :
1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل
http://upload.drawers.ws/store2/image001.jpg
بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق
http://upload.drawers.ws/store2/image002.jpg
3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه.
4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص
5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى.
لمن أراد ازالة الدودة من الرجستري يدويا وهذه الخطوة تتطلب خبرة في استخدام الرجستري ولن يحتاجها من يقوم بالخطوات السابقة هي كالتالي :
Click Start, and then click Run. (The Run dialog box appears.)
b. Type regedit
Then click OK. (The Registry Editor opens.)
c. Navigate to the key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersionSystem Handler
d. In the left pane, delete the subkey:
System Handler
e. Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
f. In the right pane, delete the value:
"System Handler"="%Windir%\System\LSASS.EXE"
g. Do one of the following:
· If you are running Windows NT/2000/XP, proceed to step j.
· If you are using Windows 95/98/me, proceed to step h.
h. Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunService
i. In the right pane, delete the value:
"System Handler"="%Windir%\System\LSASS.EXE"
j. Navigate to the registry key:
HKEY_CLASSES_ROOT\exefile\shell\open\command
k. In the right pane, change the default value to: "%1" %*
l. Exit the Registry Editor.
لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط
http://securityresponse.symantec.com/avcenter/venc/data/w32.nimos.worm.html
وصلني بالبريد فأحببت أن أنقله للفائدة