ToGo 5
27-02-2004, 11:10 PM
اسم الفيروس: VBS/Redlof@M
نوع الفيروس: دودة من نوعVBScriptworm
درجة الخطورة: عالية
درجة الانتشار: عالية
:تاريخ اكتشاف الفيروس 2002/4/30
الاثر التدميرى: يقوم بإلغاء بعض ملفات نظام التشغيل
طريقة الانتشار: عن طريق البريد الإلكتروني و بعض مواقع الإنترنت
كيفية نشاط الفيروس: فور مشاهدة رسالة البريد الإلكتروني أو دخول بعض المواقع علي الشبكة
نظم التشغيل: Windows2000,Windows95,Windows98
WindowsMe,WindowsNT,WindowsXP
مصدر الفيروس: غير معروف
الفيروس مشفر: لا
رغم أن هذا الفيروس يعتبر قديما إلي حد ما لأن بداية ظهوره كانت في عام2002, فإنه جري تطويره حوالي خمس مرات منذ ذلك التاريخ وحتي الآن, نتيجة لهذا التطوير استطاع هذا الفيروس أن يحقق أعلي مستوي من الانتشار علي المستوي العالمي خلال الشهر الماضي, الفيروس تم تطويره باستخدام واحدة من أكثر لغات البرمجة علي الحاسب الشخصي انتشارا, وهي لغة الفيجوال بيسك, وهو يستهدف برامج التعامل مع البريد الإلكتروني من نوعOutlook وOutlookExpress, وذلك لأنها الأكثر استخداما بين المتعاملين مع شبكة الإنترنت.
طريقة وصول الفيروس للحاسب:
يصل هذا الفيروس إلي الحاسبات التي يصيبها إما من خلال رسالة بريد إلكتروني يختبئ داخلها هذا الفيروس أو من خلال بعض المواقع علي شبكة الإنترنت في شكل ملف يستخدم لتصميم صفحات المواقع, البرنامج يستخدم أحد الأوامر التي تستخدم لتصميم صفحات المواقع تسميBodyOnLoad التي تستخدم لتحميل بعض الملفات إلي الحاسبات الشخصية للمستخدمين أثناء نقل الصفحات إليهم, تعتبر هذه النوعية من الفيروسات من أخطر النوعيات التي تنتقل عبر شبكة الإنترنت لأنها لا تكون في صورة ملف ملحق بالبريد الإلكتروني كما تعودنا, وإنما يمكن أن تصيب حاسباتنا بمجرد زيارة موقع علي شبكة الإنترنت أو بمجرد مشاهدة رسالة بريد إلكتروني دون تشغيل أي ملف ملحق.
ماذا يفعل الفيروس عندما يصل إلي الحاسب؟
* فور وصول الفيروس إلي الحاسب يقوم بتغيير بعض ملفات النظام
RegistryFiles المتعلقة ببرنامج أوتلوك للتعامل مع البريد الإلكتروني.
* يقوم الفيروس بإلغاء بعض ملفات نظام التشغيل, كما يقوم بتغيير ملفStartupFile.
* يقوم الفيروس بتغيير ملفات النظام لكي يقوم الحاسب بتشغيل هذا الفيروس في كل مرة نقوم فيها بتشغيل الحاسب.
كيف تعرف أن حاسبك مصاب بهذا الفيروس؟
* إذا وجدت ملفا باسمKernall.dll في مجلدSystem الذي يوجد داخل المجلد الرئيسي لنظام النوافذ ويبلغ حجم هذا الملف حوالي11.160 بايت.
* إذا لاحظت أن حجم الملفات من نوعhtm أوhtt يزداد بدون سبب.
طرق الوقاية:
بالنسبة للوقاية من هذا الفيروس أو النوعيات المشابه التي تستغل ثغرة أمنية في برنامج الأوتلوك للتعامل مع البريد الإلكتروني, فإن الطريقة المثلي هي تحديث نظام التشغيل من خلال ملفPatchFile يوجد علي الموقع التالي:
http://www.microsoft.com/security/security_bulletins
ayman Galal
Egypt
نوع الفيروس: دودة من نوعVBScriptworm
درجة الخطورة: عالية
درجة الانتشار: عالية
:تاريخ اكتشاف الفيروس 2002/4/30
الاثر التدميرى: يقوم بإلغاء بعض ملفات نظام التشغيل
طريقة الانتشار: عن طريق البريد الإلكتروني و بعض مواقع الإنترنت
كيفية نشاط الفيروس: فور مشاهدة رسالة البريد الإلكتروني أو دخول بعض المواقع علي الشبكة
نظم التشغيل: Windows2000,Windows95,Windows98
WindowsMe,WindowsNT,WindowsXP
مصدر الفيروس: غير معروف
الفيروس مشفر: لا
رغم أن هذا الفيروس يعتبر قديما إلي حد ما لأن بداية ظهوره كانت في عام2002, فإنه جري تطويره حوالي خمس مرات منذ ذلك التاريخ وحتي الآن, نتيجة لهذا التطوير استطاع هذا الفيروس أن يحقق أعلي مستوي من الانتشار علي المستوي العالمي خلال الشهر الماضي, الفيروس تم تطويره باستخدام واحدة من أكثر لغات البرمجة علي الحاسب الشخصي انتشارا, وهي لغة الفيجوال بيسك, وهو يستهدف برامج التعامل مع البريد الإلكتروني من نوعOutlook وOutlookExpress, وذلك لأنها الأكثر استخداما بين المتعاملين مع شبكة الإنترنت.
طريقة وصول الفيروس للحاسب:
يصل هذا الفيروس إلي الحاسبات التي يصيبها إما من خلال رسالة بريد إلكتروني يختبئ داخلها هذا الفيروس أو من خلال بعض المواقع علي شبكة الإنترنت في شكل ملف يستخدم لتصميم صفحات المواقع, البرنامج يستخدم أحد الأوامر التي تستخدم لتصميم صفحات المواقع تسميBodyOnLoad التي تستخدم لتحميل بعض الملفات إلي الحاسبات الشخصية للمستخدمين أثناء نقل الصفحات إليهم, تعتبر هذه النوعية من الفيروسات من أخطر النوعيات التي تنتقل عبر شبكة الإنترنت لأنها لا تكون في صورة ملف ملحق بالبريد الإلكتروني كما تعودنا, وإنما يمكن أن تصيب حاسباتنا بمجرد زيارة موقع علي شبكة الإنترنت أو بمجرد مشاهدة رسالة بريد إلكتروني دون تشغيل أي ملف ملحق.
ماذا يفعل الفيروس عندما يصل إلي الحاسب؟
* فور وصول الفيروس إلي الحاسب يقوم بتغيير بعض ملفات النظام
RegistryFiles المتعلقة ببرنامج أوتلوك للتعامل مع البريد الإلكتروني.
* يقوم الفيروس بإلغاء بعض ملفات نظام التشغيل, كما يقوم بتغيير ملفStartupFile.
* يقوم الفيروس بتغيير ملفات النظام لكي يقوم الحاسب بتشغيل هذا الفيروس في كل مرة نقوم فيها بتشغيل الحاسب.
كيف تعرف أن حاسبك مصاب بهذا الفيروس؟
* إذا وجدت ملفا باسمKernall.dll في مجلدSystem الذي يوجد داخل المجلد الرئيسي لنظام النوافذ ويبلغ حجم هذا الملف حوالي11.160 بايت.
* إذا لاحظت أن حجم الملفات من نوعhtm أوhtt يزداد بدون سبب.
طرق الوقاية:
بالنسبة للوقاية من هذا الفيروس أو النوعيات المشابه التي تستغل ثغرة أمنية في برنامج الأوتلوك للتعامل مع البريد الإلكتروني, فإن الطريقة المثلي هي تحديث نظام التشغيل من خلال ملفPatchFile يوجد علي الموقع التالي:
http://www.microsoft.com/security/security_bulletins
ayman Galal
Egypt