معلومات حول دودة الانترنت ...Email-Worm.Win32.Brontok.q

MOSSAB Sam 04 Juil 2009, 11:48

السلام عليكم ، موضوع اليوم ذو أهمية بالغة لكل من يستعمل الانترنت...

http://www.aitnews.com/gallery/large/ait890.jpg

دودة البريد الالكتروني تعرف باسم Email-Worm.Win32.Brontok.q

دودة تنتشر عبر الانترنت بواسطة البريد الالكتروني أو تكون مرفقه مع بعض البرامج أو الأدوات‘ حيث يقوم بإرسال نفسه إلى عناوين البريد الالكتروني. ولكنه انتشر في الآونه الأخيرة انتشار ملفت للنظر حتى بين الذين لا يتصفحون الانترنت بسبب وسائط التخزين المحمولة التي تحمل ملفات مصابة. و لعدم وجود برامج حماية محدثه.
معلومات عن الدودة
هذه أكبر علامة لاصابة الجهاز ، فكلما فتحت جهازك ، انفتحت هذه النافذة لتعلمك بضرورة اعادة تشغيل الحاسوب ...

http://absba4.absba.org/pics/blaster/symantec_1.jpg

تاريخ اكتشافها May 15 2006
الأنظمة المستهدفة جميع أنظمة الوندوز
الأنظمة المستثناه أنظمة ماك - أنظمة يونكس - أنظمة لينكس
درجة الانتشار عالية
درجة الخطورة عالية جداً
مستوى التهديد مرتفعة جدا لمزيد من التفاصيل .........

الأسماء المستعار لها في البرامج الحماية
: Email-Worm.Win32.Brontok.a (Kaspersky Lab) is also known as W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec) BackDoor.Generic.1138 (Doctor ######), W32/Korbo-B (Sophos), Worm/Brontok.a (H+BEDV) Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda ) Win32/Brontok.E (Eset)

http://www.vip4soft.com/news/wp-content/uploads/2009/04/conficker.jpg

تفاصيل عمل الدودة

الدودة الإلكترونية لا تحتاج إلى تشغيل فهي تقوم بتشغيل نفسها بخلاف الفايروس.

عند تركيب الدودة ينسخه نفسه في ملفات النظام .

يُعدّل في بعض أنظمة التسجيل ويعطل بعض الأدوات .

يقوم بتسجيل نفسه في نظام التسجيل لكي يضمن عمله في كل مره يعاد تشغيل فيها الوندوز .

ينسخ نفسه في قائمة بدا التشغيل .

علامات الإصابة
ثقل في عمل الحاسب بشكل عام .
سماع صوت الهاردسك بشكل مستمر يكاد لا يتوقف .
أبحث في الجهاز عن هذه الصفحة (about.Brontok.A.html ) حتى وان كنت لا تستخدم الانترنت .

كيفية الحذف
عمل فحص شامل للحاسب ببرنامج حماية مُحدث .
طرق الوقاية منها

متابعة التحديثات الدورية لنظام التشغيل .

استخدام برنامج حماية قوي ولدية سرعة في تحديث قاعدة البيانات كبرنامج (Kaspersky) .

عدم فتح الرسائل الغير معروفة المصدر مهما يكن العنوان جذاباً .

تركيب جدار ناري + انتي سباي وير

متابعة التحديثات الدورية لنظام التشغيل .

استخدام برنامج حماية قوي ولدية سرعة في تحديث قاعدة البيانات كبرنامج (Kaspersky) .

عدم فتح الرسائل الغير معروفة المصدر مهما يكن العنوان جذاباً .

تركيب جدار ناري + انتي سباي وير.antispywar

مثال عن الدودة

دودة جديدة باسم Korgo.F بدأت بالأنتشار السريع في الشبكة العالمية. وتستند آلية عمل هذه الدودة بالأساس الى ثغرة أمنية في أنظمة ويندوز XP وكذلك 2000 ، ولا تصيب الأنظمة الأخرى من ميكروسوفت. وبعكس الفيروسات الجديدة الأخرى التي أنتشرت بشكل كبير بواسطة البريد الألكتروني، فأن هذه الدودة الجديدة تقوم بما يقوم به فيروس بلاستر (Blaster) وكذلك ساسر (Sasser). وما تقوم به هذا الدودة هو أسعمال أحد المنافذ.

هذه الدودة تصيب أجهزة المستخدمين الذين ليس لديهم التحديث الأخير من شركة ميكروسوفت الذي أصدرته الشركة لملف LSASS. وتقوم الدودة بنشر نفسها في أجهزة المستخدمين الآخرين بواسطة المنافذ : 6667 ,TCP 445, 113, 3067.. وربما غيرها.

في حالة أصابة الجهاز بهذه الدودة فأن الجهاز يقوم بأعادة تشغيل الجهاز، تماما كما يقوم به الديدان من نوع بلاستر (Blaster) وكذلك ساسر (Sasser).

تقوم الدودة بنسخ نفسها باسم المجلد Ftpupd.exe، وبعد ذلك تنسخ نفسها الى مجلد النظام (System ) وعادة يكون ذلك المجلد في المسار التالي: (c:/windows/sysytem32)، ومن الممكن أيضا أن تقوم بنسخ نفسها تحت مسميات أخرى. بعد الأصابة، يبحث الملف عن ثغرات في النظام الأمني بالجهاز، لتقوم بالبحث عن أجهزة أخرى في الشبكة، والتي لا تتوفر فيها الحماية الملائمة والمطلوبة وتصيبها عن طريق نسخ نفسها اليها.

أذا لم تصب بالدودة بعد

** حمل التحديث المطلوب من شركة ميكروسوفت من هذه الصفحة:

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

أختر لغة النظام الملائمة لجهازك وقم بالتحميل الملف، ثم قم بتشغيله.

أذا أصابت جهازك الدودة قم بما يلي:

- قم بعمل أيقاف لخدمة أستعادة النظام:

لإيقاف خدمة إستعادة النظام إعمل ما يلي:

*إبدأ
*جهاز الكمبيوتر - إضغط عليه بزر الفأر الأيمن
*خصائص
*استعادة النظام
*ضع علامة على turn off system restor
*موافق

2- قم بتحميل الأداة التالية من موقع شركة سيمانتيك:

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

3- قم بتحميل هذا التحديث من موقع شركة ميكروسوفت:

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

( لا تنسى أختيار اللغة الملائمة لنظامك)

4- أغلق جميع نوافذ البرامج المفتوحة في جهازك.

5- أقطع الأتصال للشبكة من الجهاز.

6- قم بتشغيل أداة أزالة الدودة الذي قمت بتحميله.

7- بعد أنتهاء عمل البرنامج قم بأعادة تشغيل الجهاز.

8- بعد تشغيل الجهاز من جديد. قم بتركيب التحديث الذي تم تحميله من موقع ميكروسوفت.

9- قم باعادة تفعيل "خدمة استعادة النظام" .. كما يلي:

لتفعيل خدمة إستعادة النظام :

*إبدأ
*جهاز الكمبيوتر - إضغط عليه بزر الفأر الأيمن
*خصائص
*استعادة النظام
*أزل العلامة من turn off system restor
*موافق

10- أذا كان لديك نظام مكافحة قم بتحديثه.

11- في كل الأحوال من المفضل أن تقوم بتحديث نظامك من موقع ميكروسوفت، بالضغط هنا:

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

لمزيد من المعلومات حول هذه الدودة، يمكنك زيارة أحد الصفحات التالية:

* موقع شركة مكافي:

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

* موقع شركة سيمانتيك:

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]
[/center]