مجاهد الاسلام
07-07-2003, 06:07 PM
فايروس احبك
ظهور هذا الفايروس I love you ولاول مرة اثار فوضى كبيرة في عالم الكمبيوتر والشبكات, خاصة لقابلية انتشاره السريعة. وبدأت ملاحقة الجناة ممن صنعوا هذا الفايروس. وقد تعاونت جهات كثيرة من المهتمة بامنيات الانترنت والشبكات, ومن ضمنها قسم في وكالة المخابرات الامريكية المختصة بمكافحة جرائم العابثين والمحتالين باستخدام الشبكة العريضة. وكذلك تمت مشاركة عدد كبير من المختصين في حماية الشبكات في هذا العمل. والانظار كلها توجهت الى الفلبين والى شخص يدعى نفسه بالعنكبوت Spider, والبرمجة المستخدمة لعمل هذا الفايروس هي Visual Basic ومن المعروف ان هذه اللغة هي شائعة الاستخدام نظراً لدعمها من قبل شركة مايكروسوفت. وحسب تصريحات شركة Security Focus فأن الفايروس احبك يستنسخ نفسه بثلاث طرق: عن طريق الملفات الملحقة بالبريد الالكتروني, عن طريق ابدال الملفات باستخدام برنامج IRC ( Internet Relay Chat ) وعن طريق الاتصال المباشر للكمبيوترات المربوطة في الشبكة الواحدة.
خبراء المضادات الفايروسية في جميع انحاء العالم ذهلوا لسرعة انتشار هذا الفايروس. وحسب تصريح Mikko Hypponen وهو الخبير المختص في امنيات الكمبيوتر في شركة F-secure, انه اثناء عمله لمدة تسع سنوات في عمله هذا لم يصادف شيئاً سيئاً كفايروس احبك. وكما هو معروف فأن الفايروس اكتشف لاول مرة في النرويج وخلال اربع ساعات فقط تم التبليغ في انتشار الفايروس في اكثر من 20 بلداً, وهو مضاعف لسرعة انتشار فيروس Melissa في قمة ذروتهِ.
الفايروس هو من نوع مرادف لنوع دودة Pretty-Park ويرسل مع البريد الالكتروني على شكل ملف ملحق باسم ( love-letter-for-you-txt.vbs. ) ولضمان عدم الاصابة في الفايروس في الحال فوجب عدم قرأة الملف الملحق والغاء هذه الرسالة الالكترونية من دون فتحها ومعرفة محتواها. والفايروس ينتشر بصورة رئيسية عن طريق استخدام البرنامج البريدي Microsoft Outlook ولا يعرف على وجه التأكيد اذا كان ينتشر باستخدام البرامج البريدية الاخرى.
الاسواء من هذا قد حصل فالفايروس بداء بالتطفير الى عينات اخرى مقاربة للاصلية وعلى هذا المنهاج:
The original "I love you" virus
The "I like you a lot" virus
The "You're nice, but I just want to be friends" virus
The "Its not you, its me" virus
The "Look, it was just a date...don't get clingy" virus
The "Okay, I think its best if we don't have anymore contact" virus
The "It was late, I was drunk, you were easy" virus
The "Stop calling me, you unfeeling prick" virus
and finally,
The "That's it, I hate you and your stupid dog" virus
Plus:
The "No, I Ruullllyyyy Like You" Virus ... usually hits around midnight
The "You're Beawfullll ....." virus .... usually hits about 2am
The "Nothing has to happen. I just want to wake up with you in my arms"
virus
..... careful, it's a sly one.
The "You're OK but I was wondering if your friend is single" virus
The "Of course I'll phone you ... Now do you want me to call a cab for you?
العلاج ضد هذا الفايروس موجود على العنوان الاتي لكل من الشركتين McAfee و TrendMicro وكذلك لمستخدمي مضادات الفايروسات من شركة Norton احصلوا على التجديد باستخدام برنامجهم الذاتي التحديث Live Update والذي سوف يقوم اوتوماتيكياً بجلب النسخة الاخيرة منه. ومن الراغبين بالكشف عن الفايروسات في جهازه من دون امتلاك برنامج معين لاداء هذا الغرض, زورا شركة TrendMicro حيث وضعت برنامجها House Call لهذا الغرض وما عليك سوى الربط بواسطة الشبكة وعلى هذا العنوان housecall.antivirus.com .
حسب تصريح شركة McAfee فأن الفايروس يتصرف بهذه الطريقة بعد الاصابة:
في البدء يقوم الفايروس بارسال بريد الكتروني الى العناوين الخاصة والموجودة في برنامج ال Exchange والذي Outlook يعتبر جزء منه وبعدها يقوم الفايروس بارسال البريد الالكتروني الى العناوين العامة. ويقوم بعدها بتغيير صفحة البداية في المتصفح للشبكة Explorer, حيث يتم تغيير اسماء ومواقع المعلومات المسجلة في داخل بنية النوافذ وكألاتي
(i registry: HKCU\Software\Microsoft\Internet Explorer\Main\Start Page")
وبعدها يجلب الملف ("WIN-BUGSFIX.exe") من خادوم معين في الفلبين والذي سوف يبدأ بالتاثير عند تشغييل الجهاز من جديد ويقوم بتغيير صفحة البداية الى لا شئ فقط صفحة بيضاء. وهذه الملفات تكون موجودة في التسجيل الخاص بالنوافذ عند الاصابة
Windows\System\MSKernel32.vbs
Windows\Win32DLL.vbs
Windows\System\LOVE-LETTER-FOR-YOU.TXT.vbs
واذا كان برنامج mIRC منصوباً في الجهاز المصاب فأنه الملف LOVE-LETTER-FOR-YOU.TXT.vbs سوف يرسل نفسه الى الشبكة, وكذلك يقوم الفايروس بتغيير الملفات من نوع "js jse css wsh sct hta jpg jpeg" الى ملف .vbs وبالاضافة الى تغيير الملفات من نوع “ mp2, mp3 “ الى .vbs .
ظهور هذا الفايروس I love you ولاول مرة اثار فوضى كبيرة في عالم الكمبيوتر والشبكات, خاصة لقابلية انتشاره السريعة. وبدأت ملاحقة الجناة ممن صنعوا هذا الفايروس. وقد تعاونت جهات كثيرة من المهتمة بامنيات الانترنت والشبكات, ومن ضمنها قسم في وكالة المخابرات الامريكية المختصة بمكافحة جرائم العابثين والمحتالين باستخدام الشبكة العريضة. وكذلك تمت مشاركة عدد كبير من المختصين في حماية الشبكات في هذا العمل. والانظار كلها توجهت الى الفلبين والى شخص يدعى نفسه بالعنكبوت Spider, والبرمجة المستخدمة لعمل هذا الفايروس هي Visual Basic ومن المعروف ان هذه اللغة هي شائعة الاستخدام نظراً لدعمها من قبل شركة مايكروسوفت. وحسب تصريحات شركة Security Focus فأن الفايروس احبك يستنسخ نفسه بثلاث طرق: عن طريق الملفات الملحقة بالبريد الالكتروني, عن طريق ابدال الملفات باستخدام برنامج IRC ( Internet Relay Chat ) وعن طريق الاتصال المباشر للكمبيوترات المربوطة في الشبكة الواحدة.
خبراء المضادات الفايروسية في جميع انحاء العالم ذهلوا لسرعة انتشار هذا الفايروس. وحسب تصريح Mikko Hypponen وهو الخبير المختص في امنيات الكمبيوتر في شركة F-secure, انه اثناء عمله لمدة تسع سنوات في عمله هذا لم يصادف شيئاً سيئاً كفايروس احبك. وكما هو معروف فأن الفايروس اكتشف لاول مرة في النرويج وخلال اربع ساعات فقط تم التبليغ في انتشار الفايروس في اكثر من 20 بلداً, وهو مضاعف لسرعة انتشار فيروس Melissa في قمة ذروتهِ.
الفايروس هو من نوع مرادف لنوع دودة Pretty-Park ويرسل مع البريد الالكتروني على شكل ملف ملحق باسم ( love-letter-for-you-txt.vbs. ) ولضمان عدم الاصابة في الفايروس في الحال فوجب عدم قرأة الملف الملحق والغاء هذه الرسالة الالكترونية من دون فتحها ومعرفة محتواها. والفايروس ينتشر بصورة رئيسية عن طريق استخدام البرنامج البريدي Microsoft Outlook ولا يعرف على وجه التأكيد اذا كان ينتشر باستخدام البرامج البريدية الاخرى.
الاسواء من هذا قد حصل فالفايروس بداء بالتطفير الى عينات اخرى مقاربة للاصلية وعلى هذا المنهاج:
The original "I love you" virus
The "I like you a lot" virus
The "You're nice, but I just want to be friends" virus
The "Its not you, its me" virus
The "Look, it was just a date...don't get clingy" virus
The "Okay, I think its best if we don't have anymore contact" virus
The "It was late, I was drunk, you were easy" virus
The "Stop calling me, you unfeeling prick" virus
and finally,
The "That's it, I hate you and your stupid dog" virus
Plus:
The "No, I Ruullllyyyy Like You" Virus ... usually hits around midnight
The "You're Beawfullll ....." virus .... usually hits about 2am
The "Nothing has to happen. I just want to wake up with you in my arms"
virus
..... careful, it's a sly one.
The "You're OK but I was wondering if your friend is single" virus
The "Of course I'll phone you ... Now do you want me to call a cab for you?
العلاج ضد هذا الفايروس موجود على العنوان الاتي لكل من الشركتين McAfee و TrendMicro وكذلك لمستخدمي مضادات الفايروسات من شركة Norton احصلوا على التجديد باستخدام برنامجهم الذاتي التحديث Live Update والذي سوف يقوم اوتوماتيكياً بجلب النسخة الاخيرة منه. ومن الراغبين بالكشف عن الفايروسات في جهازه من دون امتلاك برنامج معين لاداء هذا الغرض, زورا شركة TrendMicro حيث وضعت برنامجها House Call لهذا الغرض وما عليك سوى الربط بواسطة الشبكة وعلى هذا العنوان housecall.antivirus.com .
حسب تصريح شركة McAfee فأن الفايروس يتصرف بهذه الطريقة بعد الاصابة:
في البدء يقوم الفايروس بارسال بريد الكتروني الى العناوين الخاصة والموجودة في برنامج ال Exchange والذي Outlook يعتبر جزء منه وبعدها يقوم الفايروس بارسال البريد الالكتروني الى العناوين العامة. ويقوم بعدها بتغيير صفحة البداية في المتصفح للشبكة Explorer, حيث يتم تغيير اسماء ومواقع المعلومات المسجلة في داخل بنية النوافذ وكألاتي
(i registry: HKCU\Software\Microsoft\Internet Explorer\Main\Start Page")
وبعدها يجلب الملف ("WIN-BUGSFIX.exe") من خادوم معين في الفلبين والذي سوف يبدأ بالتاثير عند تشغييل الجهاز من جديد ويقوم بتغيير صفحة البداية الى لا شئ فقط صفحة بيضاء. وهذه الملفات تكون موجودة في التسجيل الخاص بالنوافذ عند الاصابة
Windows\System\MSKernel32.vbs
Windows\Win32DLL.vbs
Windows\System\LOVE-LETTER-FOR-YOU.TXT.vbs
واذا كان برنامج mIRC منصوباً في الجهاز المصاب فأنه الملف LOVE-LETTER-FOR-YOU.TXT.vbs سوف يرسل نفسه الى الشبكة, وكذلك يقوم الفايروس بتغيير الملفات من نوع "js jse css wsh sct hta jpg jpeg" الى ملف .vbs وبالاضافة الى تغيير الملفات من نوع “ mp2, mp3 “ الى .vbs .