>في الآونة الأخيرة بدأ انتشار الفايروس الذي يعتبر من أكثر الفايروسات
انتشارا
>
>(W32.Netsky.P*mm)
>
>وأكاد أحدد أن جميع الفايروسات التي تصلكم هي من هذا النوع W32.NetskyV
>
>بعد أن يتم تشغيل الملف الماصب بالفايروس يقوم بالأتي (لاحظ كيف يتم
تشغيله) :
>
>
>ملاحظة : هذا أهم ما يقوم به الفايروس وليس جميع مايقوم به ، حاولت
الاختصار
>لتتضح الصورة
>
>1- يقوم بنسخ نفسه إلى :
>C:\WINDOWS\FVProtect.exe
>
>طبعا WINDOWS تختلف حسب مجلد الويندوز لديك ، ولاحظ اسم الفايروس يجعلك
تعتقد
>أنه ملف للحماية أو شيء من هذا
>
>
>2- يضيف القيمة التالية للرجستري :
>"Norton Antivirus AV"="C:\WINDOWS\FVProtect.exe"
>في هذا العنوان
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
>entVersion\Run
>
>أي أن الفايروس سوف يعمل في حال تم تشغيل الجهاز ، أيضا لاحظ التمويه من
>الفايروس ، أختار اسم Norton Antivirus AV ليكون اسما للقيمة ، فعندما
تشاهده
>في الرجستري تعتقد أنه من ملفات النورتون
>
>3- يقوم بالبحث عن المجلدات التي تحتوي اسمائها على النصوص التالية :
>
>
>
>
>bear
>
>
>donkey
>
>
>download
>
>
>ftp
>
>
>htdocs
>
>
>http
>
>
>icq
>
>
>kazaa
>
>
>lime
>
>
>morpheus
>
>
>mule
>
>
>my shared folder
>
>
>shar
>
>
>shared files
>
>
>upload
>
>
>
>وبعد ذلك يقوم بنسخ الفايروس لتلك المجلدات باحد الاسماء التالية :
>
>
>"1001 *** and more.rtf.exe"
>"3D Studio Max 6 3dsmax.exe"
>"ACDSee 10.exe"
>"Adobe Photoshop 10 crack.exe"
>"Adobe Photoshop 10 full.exe"
>"Adobe Premiere 10.exe"
>"Ahead Nero 8.exe"
>"Altkins Diet.doc.exe"
>"American Idol.doc.exe"
>"Arnold Schwarzenegger.jpg.exe"
>"Best Matrix Screensaver new.scr"
>"Britney *** xxx.jpg.exe"
>"Britney Spears and Eminem porn.jpg.exe"
>"Britney Spears blowjob.jpg.exe"
>"Britney Spears cumshot.jpg.exe"
>"Britney Spears fuck.jpg.exe"
>"Britney Spears full album.mp3.exe"
>"Britney Spears porn.jpg.exe"
>"Britney Spears ***y archive.doc.exe"
>"Britney Spears Song text archive.doc.ex"...
>"Britney Spears.jpg.exe"
>"Britney Spears.mp3.exe"
>"Clone DVD 6.exe"
>"Cloning.doc.exe"
>"Cracks & Warez Archiv.exe"
>"Dark Angels new.pif"
>"Dictionary English 2004 - France.doc.ex"...
>"DivX 8.0 final.exe"
>"Doom 3 release 2.exe"
>"E-Book Archive2.rtf.exe"
>"Eminem blowjob.jpg.exe"
>"Eminem full album.mp3.exe"
>"Eminem Poster.jpg.exe"
>"Eminem *** xxx.jpg.exe"
>"Eminem ***y archive.doc.exe"
>"Eminem Song text archive.doc.exe"
>"Eminem Spears porn.jpg.exe"
>"Eminem.mp3.exe"
>"Full album all.mp3.pif"
>"Gimp 1.8 Full with Key.exe"
>"Harry Potter 1-6 book.txt.exe"
>"Harry Potter 5.mpg.exe"
>"Harry Potter all e.book.doc.exe"
>"Harry Potter e book.doc.exe"
>"Harry Potter game.exe"
>"Harry Potter.doc.exe"
>"How to hack new.doc.exe"
>"Internet Explorer 9 setup.exe"
>"Kazaa Lite 4.0 new.exe"
>"Kazaa new.exe"
>"Keygen 4 all new.exe"
>"Learn Programming 2004.doc.exe"
>"Lightwave 9 Update.exe"
>"Magix Video Deluxe 5 beta.exe"
>"Matrix.mpg.exe"
>"Microsoft Office 2003 Crack best.exe"
>"Microsoft WinXP Crack full.exe"
>"MS Service Pack 6.exe"
>"netsky source code.scr"
>"Norton Antivirus 2005 beta.exe"
>"Opera 11.exe"
>"Partitionsmagic 10 beta.exe"
>"Porno Screensaver britney.scr"
>"RFC compilation.doc.exe"
>"Ringtones.doc.exe"
>"Ringtones.mp3.exe"
>"Saddam Hussein.jpg.exe"
>"Screensaver2.scr"
>"Serials edition.txt.exe"
>"Smashing the stack full.rtf.exe"
>"Star Office 9.exe"
>"Teen Porn 15.jpg.pif"
>"The Sims 4 beta.exe"
>"Ulead Keygen 2004.exe"
>"Visual Studio Net Crack all.exe"
>"Win Longhorn re.exe"
>"WinAmp 13 full.exe"
>"Windows 2000 Sourcecode.doc.exe"
>"Windows 2003 crack.exe"
>"Windows XP crack.exe"
>"WinXP eBook newest.doc.exe"
>"XXX hardcore pics.jpg.exe"
>
>
>
>وسبب هذه العملية لكي ينشر نفسه بشكل أكبر
>
>4- يقوم بجلب عنواوين البريد الإلكتروني من الملفات الموجودة في محركات
>الأقراص من (C حتى Z) والتي تكون بهذا الامتداد
>
>
>
>
>.adb
>
>
>.asp
>
>
>.cgi
>
>
>.dbx
>
>
>.dhtm
>
>
>.doc
>
>
>.eml
>
>
>.htm
>
>
>.html
>
>
>.jsp
>
>
>.msg
>
>
>.oft
>
>
>.php
>
>
>.pl
>
>
>.rtf
>
>
>.sht
>
>
>.shtm
>
>
>.tbb
>
>
>.txt
>
>
>.uin
>
>
>.vbs
>
>
>.wab
>
>
>.wsh
>
>
>.xml
>
>
>
>
>أي أنه سوف يقوم بفتح جميع ملفات جهازك والتي امتدادها واحد من
الامتدادات
>السابقة ، ويقوم بقرائة محتوى الملف بحثاً عن بريد الكتروني وفي حال حصل
عليه
>يقوم بتخزينه عنده. لاحظ الكم الهائل من العناوين الإلكترونية التي سوف
يحصل
>عليها ، فهو يفتح ملفات الانترنت المؤقتة ايضا وغالبا ماتحتوي على عناوين
>الكترونية.
>
>5- بإستخدام محرك SMTP الخاص به يقوم بارسال رسائل تحمل الفايروس لجميع
>الإيميلات التي عثر عليها في الخطوة السابقة.
>
>وهنا ماأريد شرحه ، الرسالة التي سوف ترسل ، وهي تكون كالتالي :
>From : الرسالة ترسل لأحد العناوين البريدية من القائمة التي عثر عليها ،
أو
>مجموعة من العناوين من نفس الدودة.
>Subject : موضوع الرسالة يكون متنوعة مثل:
>
>
>Re: Encrypted Mail
>Re: Extended Mail
>Re: Status
>Re: Notify
>Re: SMTP Server
>Re: Mail Server
>Re: Delivery Server
>Re: Bad Request
>Re: Failure
>Re: Thank you for delivery
>Re: Test
>Re: Administration
>Re: Message Error
>Re: Error
>Re: Extended Mail System
>Re: Secure SMTP Message
>Re: Protected Mail Request
>Re: Protected Mail System
>Re: Protected Mail Delivery
>Re: Secure delivery
>Re: Delivery Protection
>Re: Mail Authentification
>Mail Delivery (failure <spoofed address> )
>Re: Hello
>Re: Request
>Re: Order
>Notice again
>Fwd: Warning again
>Re: List
>Re: Developement
>Re: Proof of concept
>Re: Error in document
>Re: Message
>Re: *** pictures
>Re: Free porn
>Re: Virus Sample
>Re: Submit a Virus Sample
>Re: Old photos
>Re: Old times
>Re: Question
>Re: Sample
>Re: Its me
>Re: Hi
>Stolen document
>Private document
>Re: Your document
>Re: Approved document
>Try this game ;-)
>
>Body : جمل متنوعة مبهمة محاولة لخدع الضحية.
>
>كما تأتي نصوص الرسالة أحياناً
>
>
>
>Important message, do not show this anyone!
>Your important document, correction is finished!
>The sample is attached!
>I hope you accept the result!
>Please answer quickly!
>Please confirm!
>Are you a spammer? (I found your email on a spammer website!?!)
>I have visited this website and I found you in the spammer list. Is
that
>true?
>Here is my phone number.
>Here is my icq list.
>You have downloaded these illegal cracks?.
>Do not visit this illegal websites!
>Here is it!
>Try this, or nothing!
>Let'us be short: you have no experience in writing letters!!!
>I am shocked about your document!
>You cannot do that!
>Shocking document
>Thanks!
>Thank you for your request, your details are attached!
>Please answer quickly!
>Please confirm!
>You have written a very good text, excellent, good work!
>Your photo, uahhh.... , you are naked!
>Does it matter?
>Do you?
>Monthly news report.
>Your archive is attached.
>I cannot forget you!
>I love you!
>The sample is attached!
>I hope you accept the result!
>I have attached the sample.
>I have corrected your document.
>The file is protected with the password ghj001.
>I have attached your file. Your password is jkl44563.
>I cannot believe that.
>I found this document about you.
>I hope the patch works.
>Message has been sent as a binary attachment.
>Binary message is available.
>I have attached it to this mail.
>Can you confirm it?
>Is that your password?
>Protected message is attached.
>Encrypted message is available.
>Mail Authentication
>Protected Mail System
>ESMTP [Secure Mail System #334]: Secure message is attached.
>Partial message is available.
>Waiting for a Response. Please read the attachment.
>First part of the secure mail is available.
>For more details see the attachment.
>For further details see the attachment.
>Your requested mail has been attached.
>Protected Mail System Test.
>Secure Mail System Beta Test.
>Forwarded message is available.
>Delivered message is attached.
>Encrypted message is available.
>Please read the attachment to get the message.
>Follow the instructions to read the message.
>Please authenticate the secure message.
>Protected message is attached.
>Waiting for authentification.
>Protected message is available.
>Bad Gateway: The message has been attached.
>SMTP: Please confirm the attached message.
>You got a new message.
>Now a new message is available.
>New message is available.
>You have received an extended message. Please read the instructions.
>Your details.
>Your document.
>I have received your document. The corrected document is attached.
>I have attached your document.
>Your document is attached to this mail.
>Authentication required.
>Requested file.
>See the file.
>Please read the important document.
>Please confirm the document.
>Your file is attached.
>Please read the document.
>Your document is attached.
>Please read the attached file!
>Please see the attached file for details.
>read it immediately
>The file is protected with the password ghj001.
>I have attached your file. Your password is jkl44563.
>أو هكذا
>
>+++ Attachment: No Virus found
>+++ MessageLabs AntiVirus - www.messagelabs.com
>
>
>+++ Attachment: No Virus found
>+++ Bitdefender AntiVirus - www.bitdefender.com
>
>
>+++ Attachment: No Virus found
>+++ MC-Afee AntiVirus - www.mcafee.com
>
>
>+++ Attachment: No Virus found
>+++ Kaspersky AntiVirus - www.kaspersky.com
>
>
>+++ Attachment: No Virus found
>+++ Panda AntiVirus - www.pandasoftware.com
>
>
>++++ Attachment: No Virus found
>++++ Norman AntiVirus - www.norman.com
>
>
>++++ Attachment: No Virus found
>++++ F-Secure AntiVirus - www.f-secure.com
>
>
>++++ Attachment: No Virus found
>++++ Norton AntiVirus - www.symantec.de
>
>
>أيضا توجد نماذج رسائل جاهزة في الفايروس مثل
>
>
>From:support*symantec.com
>Subject:
>
>
>
>
>Re:Virus Sample
>
>
>Re:Submit a Virus Sample
>
>
>
>Body:
>The sample file you sent contains a new virus version of buppa.k.
>Please update your virus scanner with the attached dat file.
>Best Regards,
>Keria Reynolds
>أو
>The sample file you sent contains a new virus version of mydoom.j.
>Please clean your system with the attached signature.
>Sincerly,
>Robert Ferrew
>
>
>
>والرسالة معناها كأنك قمت بمراسلة الدعم لشركة Symantec استفسار عن
فايروس ،
>فهذا ردهم ويقولون فيه انه يحتوي على فايروس مايدوم ويجب عليك تنظيف
الجهاز
>باستخدام الملف المرفق. والملف المرفق عبارة عن الفايروس نفسه
>
>أو
>
>From:noreply*paypal.com
>Subject:
>Congratulations!
>Thank you!
>Body:
>You were registered to the pay system.
>For more details see the attachment.
>Your bill is attached to this mail.
>
>From:abuse*gov.account
>Subject:
>Internet Provider Abuse
>Illegal Website
>Body:
>I noticed that you have visited illegal websites.
>See the name in the list!
>You have visited illegal websites.
>I have a big list of the websites you surfed.
>
>From: noreply*<spoofed domain>
>Subject:
>Administrator
>Mail Account
>Body:
>Your mail account is expired.
>See the details to reactivate it.
>Your mail account has been closed.
>For further details see the document.
>
>
>ويأتي المرفق عادة بإحدى هذه الأسماء
>
>document05
>websites03
>game_xxo
>your_document
>my_details
>your_doc
>mails9
>data20
>letter32
>priv
>document43
>software
>patch3425
>game
>private_01
>part6
>document01
>pwd02
>all_doc01
>document04
>about_you
>your_document
>encrypted_msg01
>pgp_sess01
>
>
>
>ويأتي ملحق الملف المرفق بإحدى اللواحق التالية
>
>*.exe
>*.pif
>*.scr
>*.zip
>ويحتوي عنوان البريد القادم بأحد الأسماء التالية
>
>*antivi
>*avp
>*bitdefender
>*fbi
>*f-pro
>*freeav
>*f-secur
>*kaspersky
>*mcafee
>*messagel
>*microsof
>*norman
>*norton
>*pandasof
>*skynet
>*sophos
>*spam
>*symantec
>*viruslis
>abuse*
>noreply*
>ntivir
>reports*
>spam*
>
>
>
>الآن قمنا بتوضيح آلية عمل الفايروس
>
>W32.Netsky.P*mm
>
>فمن الطبيعي أن تجد رسائل وصلت لأصدقائك قادمه من بريدك ، فجهاز أحد
اصدقائك
>والذي اصيب بالفايروس هو من قام بإرسال الرسالة لأصدقائك وكأنها قادمة
منك ،
>وكذلك سوف يرسلها لك وكأنها قادمة من صديقك أو أي بريد موجود في القائمة
التي
>عثر عليها. وهذا يوضح سبب وجود البريد الغريب الذي يصلك ، فهذا لا يعني
أن
>جهازك اصيب بالفايروس ، فالفايروس لا يمكن أن يعمل ويكون الجهاز مصاب الا
اذا
>تم تشغيله ، او استخدم ثغرة امنية في نظام التشغيل كما هو التفجير
Blaster.
>
>أرجوا أن أكون قد وضحت ولو جزء بسيط من هذا الغموض
>

>مرحلة القضاء على الفيروس بشكل نهائي
>
>اذا كان جهازك مصاب بالفايروس W32.Netsky.P*mm أو أحد اصدارات نيت سكاي
>التالية :
>
>
>W32.Netsky.B*mm
>W32.Netsky.C*mm
>W32.Netsky.D*mm
>W32.Netsky.E*mm
>W32.Netsky.K*mm
>W32.Netsky.P*mm
>W32.Netsky.Q*mm
>W32.Netsky.S*mm
>W32.Netsky.T*mm
>
>
>
>فالطريقة سهلة ، سيمانتيك وفرت اداة حذف الفايروس من الجهاز المصاب( لهذا
>الفايروس فقط ) ، هذا الشرح من الدعم الفني لسيمانتيك ، على فرض أنك
تستخدم
>نورتون ، لذلك اذا كنت تستخدم مكافي أو أي مكافح فايروسات آخر ، الأفضل
أن
>تبحث في موقع الشركة عن كيفية حذف الفايروس هذا .
>

>
>الخطوات :
>1- حمل الملف
>حجم البرنامج 156 كيلوبايت :
>2- أغلق جميع البرامج التي تعمل الآن.
>3- اذا كنت متصل بشبكة ، أو متصل بالانترنت ، اقطع الاتصال الآن.
>4- اذا كان الويندوز XP أو Me ، عطل System Restore (خطوة مهمة - الشرح
لهذه
>الخطوة في الأسفل).
>5- شغل الملف FxNetsky.exe .
>6- اضغط Start (الشرح لهذه الخطوة في الأسفل).
>7- أعد تشغيل الجهاز بعد الإنتهاء.
>8- شغل البرنامج مرة ثانية FxNetsky.exe .
>9- اذا كان الويندوز XP أو ME ، أعد System Restore.
>10- حدث النورتون في جهازك.
>
>--------------------------------------------------------------------------------
>
>شرح طريقة تعطيل عمل استعادة النظام System Restore
>
>
>
>خاصية تعطيل استعاد النظام في الويندوز ميلينيوم
>
>Widows ME
>
>نضغط على خصائص جهاز الكمبيوتر
>
>Click A Properties of My Computer Then See This Photo
>
> >خاصية تعطيل استعاد النظام في الويندوز الإكس بي
>
>Widows XP
>
>نضغط على خصائص جهاز الكمبيوتر
>
>Click A Properties of My Computer Then See This Photo
>

>
>وبعد ذلك نفتح البرنامج الذي قمنا بتحميله بالسابق
>
>FxNetsky.exe
>
>ونضغط على الزر Start لبدء عمل البرنامج
>
>
>
>بعد الإنتهاء قم بإعاداة تشغيل الكمبيوتر
>
>وقم بإعادة تشغيل البرنامج وعمل تفحص مرة أخرى للأمان
>
>وبعد الإنتهاء أعد تنشيط استعادة النظام System Restore
>
>بعد ذلك قم بتحديث النورتون في جهازك
>
>وقم بعمل فحص كامل لجهازك
>
>
>
>ولقراءة هذا الخبر باللغة الإنجليزية اضغط هنا
>أوبزيارة الموقع الرسمي لهذا الخبر من موقع سيمانتيك اضغط هنا
>
>----------------------------------------------------------------
>وأما بالنسبة لمشكلة الفيروس إعادة تشغيل الجهاز كل 60 ثانية
>
>فهو كالتالي
>
>هذا الفيروس يسمى DCOM RPC
>قال خبراء إن الفيروس الجديد الذي يطلق عليه اسم "بلاستر" كما يعرف أيضا
باسم
>"لافسان"، يأخذ شكل رسالة موجهة إلى رئيس شركة مايكروسوفت بيل غيتس جاء
فيها
>"بيل غيتس لماذا تسمح بحدوث هذا؟ كف عن جمع المال وأصلح البرامج التي
تنتجها".
>
>ويختلف بلاستر إلى حد ما عن غيره من الفيروسات التي تنتشر عبر البريد
>الإلكتروني وحده إذ يمكنه أن ينتشر عبر الاتصال العادي بالإنترنت، كما
أنه
>يقوم بعملية مسح للإنترنت بحثا عن أي أجهزة أخرى لا تتمتع بالحماية
الكافية
>لمهاجمتها.
>
>ويستهدف الفيروس على وجه الخصوص الإصدارات الأخيرة من نظام ويندوز.
ويتوقع
>الخبراء أن يكون المستخدمون في المنازل الأكثر تضررا لأن الكثير منها لا
يتمتع
>ببرامج حماية من الفيروسات.
>
>وتم ضبط توقيت بلاستر وهو فيروس يستهدف نظامي ويندوز 2000 وإكس بي- بحيث
يهاجم
>موقع مكافحة الفيروسات التابع لشركة مايكروسوفت الذي يوفر البرنامج
اللازم
>لمنع انتشار الفيروس، قبل أن يصل إلى ملايين المستخدمين.
>
>وقالت شركات مكافحة فيروسات الحواسيب في أوروبا وآسيا التي تلقت شكاوى من
>مؤسسات بإصابتها بالفيروس الجديد إنها تمكنت من إعادة الكثير من الأجهزة
>المتعطلة إلى العمل بكفاءة بعد عملية إصلاح سريعة.
>
>وينصح الخبراء مستخدمي الحواسيب بزيارة موقع مايكروسوفت لمكافحة
الفيروسات
>بغرض الحصول على البرنامج اللازم للتصدي لبلاستر.
>
>أما عن الأضرار فمؤقتا لا ضرر للفيروس سوى الأزعاج، وإعادة تشغيل الجهاز.
>
>ولعلاج الاجهزه المصابه بهذا الفيروس الخطير
>
>إذا لم تصب بالفيروس:
>
>1- قم بتحديث النظام لديك أو حمل تحديث ميكروسوفت لنظامك
>من هنا.
>
>2- اذا كنت تعمل مع نورتون تجد المشكلة والتحديث لأزالة الفيروس
>من هنا
>
>إذا أصاب الفيروس جهازك:
>
>
>
>احذف الفيروس بهذا البرنامج
>FixBlast.exe
>
>او
>
>أبحث في جهازك عن ملف يدعى بــ msblast.exe ، وقم بحذفه. إذا لم يتم
الحذف
>أغلق الملف من الــ (Task manager) . أو بمساعدة برامج مثل EndItAll.
>يمكنكم تحميله
>من هنا
>
>
>أغلق الملف وابحث عنه من جديد كي تحذفه.
>
>بعد ذلك قم بتحديث مكافح الفيروس في جهازك
>
>وبالتوفيق انشاء الله
>
>
منقول

شكرا لك على هذه المعلومات المفيدة ..
قد يستغرب البعض من خطوة تعطيل خاصية استعادة النظام
ولكن هذه الخطوة تعد مهمة جدا اذا عرفنا السبب ..

ما هي خاصية استعادة النظام؟
من المعروف ان خاصية استعادة النظام تمكنك من استعادة تعريفات نظام جهازك عند حدوث مشكلة ما خصوصا عند تركيب برامج جديدة او ملحقات اضافية لجهازك.
مثلا، نظام التشغيل ويندوز اكس بي يقوم تلقائيا بانشاء نقاط استعادة نظام يمكن الرجوع اليها في اي وقت. وفي هذه العملية يقوم تلقائيا بحفظ بعض الملفات الخاصة كما انه يضع عليها حماية تمنع اي برامج اخرى من التعديل عليها. وهنا تكمن الخطورة، فلربما كان احد الملفات التي قام الويندوز بحفظها هو ملف مصاب بالفيروس اصلا، ولأنه محمي ... لا يستطيع برنامج مكافحة الفيروسات التعامل معه !

ماذا يحدث عند تعطيل خاصية استعادة النظام؟
يقوم الويندوز بالغاء كل الملفات التي احتفظ بها مسبقا والتي ربما تكون مصابة بالفيروس، وبذلك يلغي كل نقاط الاستعادة التي تم تعينها مسبقا .

لذا تأتي اهمية تعطيل هذه الخاصية .. لكن .. لا ننسى ان نفعلها مرة ثانية بعد الانتهاء من ازالة الفيروس :)

للمزيد من العلومات حول هذه الخاصية .. راجع الموضوع التالي (http://www.electvillage.com/ve/showthread.php?threadid=351)

معلومات ممتازة شكرا استاذ عبد العزيز شكرا استاذة رؤي

ياربي
كل هذا !!

مشكورين

جزاك الله خيرا