zzzzzzn
04-05-04, 08:13 AM
نقلا عن جريدة الرياض ليوم السبت 13 صفر 1425هـ العدد 13067
فيروسات دودة Win32/Netsky.Q@MM
إعداد: خالد بن محمد المسيهيج
الاسم التقني:
Win32/Netsky.Q
تاريخ الاكتشاف:
22مارس 2004
مستوى الضرر:
متوسط بالنسبة للمستخدم العادي أو منشآت الأعمال
مدى الانتشار:
متوسط
أسماء مستعارة أخرى :
Win32/Netsky-Q و WORM_NETSKY.P و I-Worm.Netsky.q
عملها وطريقة انتشارها : دودة Win32/Netsky.Q@MM:
هي عبارة عن دودة فيروسية تحمل بعض خصائص أسلافها وتعتـمـد
بانتشارها على إرسال نفسها عبر البريد الإلكتروني وما أن تحل فـي
جهاز الضحية حتى تقوم بإنشاء عدد من الملفات في مجـلد وينــدوز،
من أهمها ملف مزيف يوهمك بأنه fvprotect.exe أحد أهم ملفــات
مكافـح الفيروســات الشــهير Norton Antivirus AV وتـقــوم كــذلك
بإضافة بعــض السطــور لملف الريجــستري على أنهـا هو ، كما أنهــا
تنتشر أيضـاً عبر برامــج مشاركـة الملفــات في الإنتــرنت المسمـــاة
Peer-to-Peer والتــي يختصر لهــا اصطلاحــاً بـ (P2P) مـثــل الكــازا
والحمار إضافة إلى برامـج المحــادثة التي تدعم تبــادل الملفات مثــل
برنامج المحادثة الشهير ICQ وIRC ، والرسالة المفخخة تحمـل ملفــاً
مرفقــاً يتــراوح حجمــه ما بين 4027ك.ب ، وجميــع أنظمـة تشغيـل
وينـدوز معـرضة للإصــابة. وقد أشــار موقـع McAfee المتخــصـص في
مكافحة الفيروسات أن هــناك فترة زمـنية تنشــط بها الــدودة وهــي
الفترة الواقعة ما بين 8و 11من إبريل 2004م حيث تقوم بمهاجمة .
المواقع التالية:
www.edonkey2000.com
www.kazaa.com
www.emule-project.net
www.cacks.am
www.cracks.st
http://www.alriyadh.com.sa/*******s/03-04-2004/RiyadhNet/images/n2-3-2004.jpg
ومعلوم أن هذه المـواقع يرتادها الكثير من الزوار وبالتالي فإن الدودة
ستصيب أجهزة جميع من يتعاملون مع ملفات هذه المواقع.
الرسائل التي ترفق بها الدودة في الغالب الرساـئل المفخخــة بهذه
الدودة تأتي معنونة بتسليم الرسائل وأحياناً تكتب أي أحــرف بشكـل
عشوائي (كما يتضح من الصورة رقم 1) وبالتالي مسألة حصرها غير
ممكنة، لكن يكفي أن نتنبه إلى نوعية الملفات التي تأتي بها الدودة
وهي: EML. SCR. PIF. ZIP
تصل الرسائل على شكل تحذيرات بخصـوص حساب البـريد الإلكتـروني
أو هكذا تحاول الإيقاع بضحاياها كأن تحمل عنواناً يوهم القارئ بأن هذه
الرسالة تساعد على تحقيق أقصى درجات الحماية للبريد، أو تقرير عن
حسابه، أو تنبيـه هام بخصــوص بريدك (كما يظهـر من الـصورة)، ولسنا
بصدد حصر جميع عناوين الرسائل نظراً لأنها قد تتغيـر لكن يكفيــنا فقـط
الإشارة لذلك .
الوقاية :
كما ذكرنا ونذكر دائماً بأن الوقــاية أهــم من العــلاج، إذ إنه فــي بعض
الأحيان نجد أن العلاج لا يجدي نفعاً، ومن أهم قواعد السلامة والوقاية
التنبه لحجم الرسائل، لاحظ في الصورة (1) نجد أن المرفق يبلغ حجمه
30كيلوبايت، هذا فضلاً على أن أي ملفات قابلة للتنفيذ مثل ذات
الامتداد:
Exe. bat. pif. scr وكذلك الملفات المضغوطة التي قـد تتضمن ملفــات
قابلة للتنفيذ مثل: Zip. rar ليس من الآمن استقبالها حتى من عناوين
غير معلومة، كما أن الرسائل التي تعنون باللغة الإنجليزية لأصدقاء لــم
يكن من المعتاد أن يرسلوا بهذه اللغة أمر يثير الشك خصوصاً إذا علمنا
أنه عند إصابة جهاز تقوم الدودة بإرسال نفسها بشكل آلي ودون علم
صاحبه إلى جميع العناوين المقيــدة بدفتر العنـاوين. لذلك من الأسـلم
حذفهــا مباشرة إن لم يتوفــر برنامـج حماية بخــادم البريد. كــذلك من
الموصى به تركيب أحد برامج الحماية الموثوق بها مثل AVG والذي يمكن
الحصول على نسخة مجانية منه من خلال الوصلة التالية:
www.grisoft.com/us/us_dwnl7.php
http://www.alriyadh.com.sa/*******s/03-04-2004/RiyadhNet/images/n3-3-2004.jpg
العلاج:
إذا أحسست بأنك قد استقبلت رسالة تثير الشك فيمكن الاستعانة
بإحدى الأدوات المتخصصة إن لم يستطع برنامج الحماية المثبت على
جهازك اكتشافها وهذا نادراً إذا كانت هناك متابعة مستمرة للتحديثات
الخاصة بالبرنامج، ومن أكثر الأدوات شمولية تلك التي أنشأتها شركة
avast! والتي تقوم بتحديثها بشكل مستمر حتى أصبحت علاجاً لأشهر
الفيروسات الخطرة، وهذه الأداة يمكن الحصول عليها (محدثة) من خلال
الوصلة التالية: www.ma3refah.org/protection/ac
للتواصل معنا أو الاستفسار عن أي معلومات حول
الفيروسات والحماية يمكن مراسلتنا على العنوان :
almusaihij@alriyadh.com.
تحياتي ...... zzzzzzn
فيروسات دودة Win32/Netsky.Q@MM
إعداد: خالد بن محمد المسيهيج
الاسم التقني:
Win32/Netsky.Q
تاريخ الاكتشاف:
22مارس 2004
مستوى الضرر:
متوسط بالنسبة للمستخدم العادي أو منشآت الأعمال
مدى الانتشار:
متوسط
أسماء مستعارة أخرى :
Win32/Netsky-Q و WORM_NETSKY.P و I-Worm.Netsky.q
عملها وطريقة انتشارها : دودة Win32/Netsky.Q@MM:
هي عبارة عن دودة فيروسية تحمل بعض خصائص أسلافها وتعتـمـد
بانتشارها على إرسال نفسها عبر البريد الإلكتروني وما أن تحل فـي
جهاز الضحية حتى تقوم بإنشاء عدد من الملفات في مجـلد وينــدوز،
من أهمها ملف مزيف يوهمك بأنه fvprotect.exe أحد أهم ملفــات
مكافـح الفيروســات الشــهير Norton Antivirus AV وتـقــوم كــذلك
بإضافة بعــض السطــور لملف الريجــستري على أنهـا هو ، كما أنهــا
تنتشر أيضـاً عبر برامــج مشاركـة الملفــات في الإنتــرنت المسمـــاة
Peer-to-Peer والتــي يختصر لهــا اصطلاحــاً بـ (P2P) مـثــل الكــازا
والحمار إضافة إلى برامـج المحــادثة التي تدعم تبــادل الملفات مثــل
برنامج المحادثة الشهير ICQ وIRC ، والرسالة المفخخة تحمـل ملفــاً
مرفقــاً يتــراوح حجمــه ما بين 4027ك.ب ، وجميــع أنظمـة تشغيـل
وينـدوز معـرضة للإصــابة. وقد أشــار موقـع McAfee المتخــصـص في
مكافحة الفيروسات أن هــناك فترة زمـنية تنشــط بها الــدودة وهــي
الفترة الواقعة ما بين 8و 11من إبريل 2004م حيث تقوم بمهاجمة .
المواقع التالية:
www.edonkey2000.com
www.kazaa.com
www.emule-project.net
www.cacks.am
www.cracks.st
http://www.alriyadh.com.sa/*******s/03-04-2004/RiyadhNet/images/n2-3-2004.jpg
ومعلوم أن هذه المـواقع يرتادها الكثير من الزوار وبالتالي فإن الدودة
ستصيب أجهزة جميع من يتعاملون مع ملفات هذه المواقع.
الرسائل التي ترفق بها الدودة في الغالب الرساـئل المفخخــة بهذه
الدودة تأتي معنونة بتسليم الرسائل وأحياناً تكتب أي أحــرف بشكـل
عشوائي (كما يتضح من الصورة رقم 1) وبالتالي مسألة حصرها غير
ممكنة، لكن يكفي أن نتنبه إلى نوعية الملفات التي تأتي بها الدودة
وهي: EML. SCR. PIF. ZIP
تصل الرسائل على شكل تحذيرات بخصـوص حساب البـريد الإلكتـروني
أو هكذا تحاول الإيقاع بضحاياها كأن تحمل عنواناً يوهم القارئ بأن هذه
الرسالة تساعد على تحقيق أقصى درجات الحماية للبريد، أو تقرير عن
حسابه، أو تنبيـه هام بخصــوص بريدك (كما يظهـر من الـصورة)، ولسنا
بصدد حصر جميع عناوين الرسائل نظراً لأنها قد تتغيـر لكن يكفيــنا فقـط
الإشارة لذلك .
الوقاية :
كما ذكرنا ونذكر دائماً بأن الوقــاية أهــم من العــلاج، إذ إنه فــي بعض
الأحيان نجد أن العلاج لا يجدي نفعاً، ومن أهم قواعد السلامة والوقاية
التنبه لحجم الرسائل، لاحظ في الصورة (1) نجد أن المرفق يبلغ حجمه
30كيلوبايت، هذا فضلاً على أن أي ملفات قابلة للتنفيذ مثل ذات
الامتداد:
Exe. bat. pif. scr وكذلك الملفات المضغوطة التي قـد تتضمن ملفــات
قابلة للتنفيذ مثل: Zip. rar ليس من الآمن استقبالها حتى من عناوين
غير معلومة، كما أن الرسائل التي تعنون باللغة الإنجليزية لأصدقاء لــم
يكن من المعتاد أن يرسلوا بهذه اللغة أمر يثير الشك خصوصاً إذا علمنا
أنه عند إصابة جهاز تقوم الدودة بإرسال نفسها بشكل آلي ودون علم
صاحبه إلى جميع العناوين المقيــدة بدفتر العنـاوين. لذلك من الأسـلم
حذفهــا مباشرة إن لم يتوفــر برنامـج حماية بخــادم البريد. كــذلك من
الموصى به تركيب أحد برامج الحماية الموثوق بها مثل AVG والذي يمكن
الحصول على نسخة مجانية منه من خلال الوصلة التالية:
www.grisoft.com/us/us_dwnl7.php
http://www.alriyadh.com.sa/*******s/03-04-2004/RiyadhNet/images/n3-3-2004.jpg
العلاج:
إذا أحسست بأنك قد استقبلت رسالة تثير الشك فيمكن الاستعانة
بإحدى الأدوات المتخصصة إن لم يستطع برنامج الحماية المثبت على
جهازك اكتشافها وهذا نادراً إذا كانت هناك متابعة مستمرة للتحديثات
الخاصة بالبرنامج، ومن أكثر الأدوات شمولية تلك التي أنشأتها شركة
avast! والتي تقوم بتحديثها بشكل مستمر حتى أصبحت علاجاً لأشهر
الفيروسات الخطرة، وهذه الأداة يمكن الحصول عليها (محدثة) من خلال
الوصلة التالية: www.ma3refah.org/protection/ac
للتواصل معنا أو الاستفسار عن أي معلومات حول
الفيروسات والحماية يمكن مراسلتنا على العنوان :
almusaihij@alriyadh.com.
تحياتي ...... zzzzzzn