شقراوي بحت
07-10-2004, 11:44 AM
السلام عليكم
http://www.4m.cc/files/msnbug/sweetgirl-bug.gif
ظهر مؤخرا ً فايرس يصيب برنامج الماسنجر ، الإصدارة 6.2
الطريقة :
تجد أن من يحادثك يظهر مع أي كلام يقوم بكتابته نصوص صينية أويابانية .. بالإضافة إلى
( وصلة ) و بمجرد فتحك لهذه الوصلة يُصاب جهازك بنفس المشكلة ...
الآثار المترتبة على هذا الفيروس :
الآثار -على حد علمي - تبدأ بمجرد فتحك للرابط ، وهي تتعلق بالماسنحر فقط .
كل ما كتبت جملة ، وأرسلتها تظهر العبارة والرابط فقط .
طريقة العلاج :
هناك ثلاث خطوات ، بعدها بإذن الله ستكون في مأمَن من هذا الفايرس
1) الخطوة الأولى :
عن طريق الوندوز ،
- إبدا START
- تشغيل RUN
ومن ثّم كتابة الأمر :
regedit
في صندوق الأوامر .. واختيار " موافق "
ستظهر لك نافذة ، على يمينها مجلدات .. تتبع هذا المسار :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
و ثم قم بحذف المجلدات الآتية:
realone_nt2004 و
realone_nt2003
http://www.4m.cc/files/msnbug/fig-1.gif
بالضغط بالزر الأيمن واختيار ( حذف )
بعد ذلك قم بإنهاء الماسنجر ، ( اذهب له واضغط الزر الأيمن ، واختر - إنهاء - Exit - )
قم بالضغط على Ctrl +Alt +Del ستظهر لك نافذة اختر منها تبويب( Process العمليات ) و قم بإنهاء البرامج الاتية:
MONIKER.EXE
SYSLRAY.EXE
http://www.4m.cc/files/msnbug/fig-2.gif
وذلك عن طريق تحديدها ومن ثم اختيار ( إنهاء العملية )
2) الخطوة الثانية :
الآن نقوم بمسح جميع الملفات التي قام صاحب الموقع بتنزيلها على جهازنا أثناء دخولنا الرابط ...
للقيام بذلك ، توجه إلى ( ملفات الإنترنت المؤقتة )
للوصول إلى هذا المجلد عادة ما يكون بهذا النسق
C:\Documents and Settings\Mazoo.com\Local Settings\Temporary Internet Files
فعوضا ً عن Mazoo.com
قم بوضع اسم المسخدم الخاص بك
ستظهر لك ملفات كثيرة .. هي عبارة عن جميع الملفات التي تقوم بتحميلها " سواء بعلمك أو بغير علمك " أثناء تصفحك للإنترنت .
لتسهيل العملية .. قم بترتيب الملفات حسب النوع أو حسب تاريخ آخر تشغيل .. وذلك عن طريق :
الضغط بالزر الأيمن ثم اختيار ما يناسب ..
بعد ذلك ابحث عن ملفات بهذه الأسماء :
news.htm
wode.jpg
1.jpg
test.chm
test.exe
وهي في طبيعة الحال ستكون مُحمّلة من الموقع :
www.xf2s.com (http://www.xf2s.com/)
http://www.4m.cc/files/msnbug/fig-3.gif
وقم بحذفها ...
3) الخطوة الثالثة :
هذه الخطوة لزيادة الأمان والحرص ، فقط لا غير ..
قم بتحميل برنامج من هذه الوصلة :
http://tucows.qualitynet.net/files2/aaw6.exe (http://tucows.qualitynet.net/files2/aaw6.exe)
بعد تنصيبك للبرنامج لن يقوم بمفعوله بشكل كامل إذا لم تقوم بتحديثه !
عليك إذن تحديثه ،،
وذلك باتباع التالي :
1- اختر زر أبديت .
http://www.4m.cc/files/msnbug/fig-3.5.gif
2- قم بالتعديل على الإعدادات .
http://www.4m.cc/files/msnbug/fig-4.gif
3 - قمك بإدخال المعلومات الخاصة باتصاالك ، البروكسي ومن ثم اضغط زر Connect
http://www.4m.cc/files/msnbug/fig-4.5.gif
بعد ذلك قم باختيار Start ثم Next
لتبدأ عملية التفحّص ..
بعد إتمام العملية ، ستظهر لك قائمة بأسماء الملفات كل ما عليك القيام به هو تحديدها عن طريق " المربعات أمام كل منها "
وبعد ذلك اختر Next لتتم عملية العزل أو المسح .
على هامش الفيروس :
+ صانع الفيروس ، قام بتشفير ملف الصفحة .. فعند محاولتك لفتح مصدرها لن يخرج لك إلا 3 سطور فقط !
أي أن عملية زرع الفيروس في جهازك مخفية عليك .. وإلا لكانت عملية اكتشاف الملفات المزروعة أمرا ً سهلا ً .
كذلك قام بوضع كود جافا سكربت ، الخاص بتعطيل شريط الحالة وشغله بنص معيّن ..
ومعلوم أن هذا قد يُبيّن الملفات التي تقوم بتحميلها أو الصفحات التي تقوم بفتحها .. ولكن مع وضع هذا الكود سيقوم بحجب حالة المتصفح !
http://www.4m.cc/files/msnbug/fig-5.gif
+ الغريب في الأمر أنك تفتح رابط ( على أساس أنها صورة ) ولكنك تتفاجئ كونها صفحة html ! ، وفعلا ً قد يكون نجح في إيقاع
الكثيرين في الفخ من خلال هذه الحركة ( لأنه ربما يقول البعض : صورة ، وش بتسوي يعني !! )
http://www.4m.cc/files/msnbug/sweetgirl-bug.gif
ظهر مؤخرا ً فايرس يصيب برنامج الماسنجر ، الإصدارة 6.2
الطريقة :
تجد أن من يحادثك يظهر مع أي كلام يقوم بكتابته نصوص صينية أويابانية .. بالإضافة إلى
( وصلة ) و بمجرد فتحك لهذه الوصلة يُصاب جهازك بنفس المشكلة ...
الآثار المترتبة على هذا الفيروس :
الآثار -على حد علمي - تبدأ بمجرد فتحك للرابط ، وهي تتعلق بالماسنحر فقط .
كل ما كتبت جملة ، وأرسلتها تظهر العبارة والرابط فقط .
طريقة العلاج :
هناك ثلاث خطوات ، بعدها بإذن الله ستكون في مأمَن من هذا الفايرس
1) الخطوة الأولى :
عن طريق الوندوز ،
- إبدا START
- تشغيل RUN
ومن ثّم كتابة الأمر :
regedit
في صندوق الأوامر .. واختيار " موافق "
ستظهر لك نافذة ، على يمينها مجلدات .. تتبع هذا المسار :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
و ثم قم بحذف المجلدات الآتية:
realone_nt2004 و
realone_nt2003
http://www.4m.cc/files/msnbug/fig-1.gif
بالضغط بالزر الأيمن واختيار ( حذف )
بعد ذلك قم بإنهاء الماسنجر ، ( اذهب له واضغط الزر الأيمن ، واختر - إنهاء - Exit - )
قم بالضغط على Ctrl +Alt +Del ستظهر لك نافذة اختر منها تبويب( Process العمليات ) و قم بإنهاء البرامج الاتية:
MONIKER.EXE
SYSLRAY.EXE
http://www.4m.cc/files/msnbug/fig-2.gif
وذلك عن طريق تحديدها ومن ثم اختيار ( إنهاء العملية )
2) الخطوة الثانية :
الآن نقوم بمسح جميع الملفات التي قام صاحب الموقع بتنزيلها على جهازنا أثناء دخولنا الرابط ...
للقيام بذلك ، توجه إلى ( ملفات الإنترنت المؤقتة )
للوصول إلى هذا المجلد عادة ما يكون بهذا النسق
C:\Documents and Settings\Mazoo.com\Local Settings\Temporary Internet Files
فعوضا ً عن Mazoo.com
قم بوضع اسم المسخدم الخاص بك
ستظهر لك ملفات كثيرة .. هي عبارة عن جميع الملفات التي تقوم بتحميلها " سواء بعلمك أو بغير علمك " أثناء تصفحك للإنترنت .
لتسهيل العملية .. قم بترتيب الملفات حسب النوع أو حسب تاريخ آخر تشغيل .. وذلك عن طريق :
الضغط بالزر الأيمن ثم اختيار ما يناسب ..
بعد ذلك ابحث عن ملفات بهذه الأسماء :
news.htm
wode.jpg
1.jpg
test.chm
test.exe
وهي في طبيعة الحال ستكون مُحمّلة من الموقع :
www.xf2s.com (http://www.xf2s.com/)
http://www.4m.cc/files/msnbug/fig-3.gif
وقم بحذفها ...
3) الخطوة الثالثة :
هذه الخطوة لزيادة الأمان والحرص ، فقط لا غير ..
قم بتحميل برنامج من هذه الوصلة :
http://tucows.qualitynet.net/files2/aaw6.exe (http://tucows.qualitynet.net/files2/aaw6.exe)
بعد تنصيبك للبرنامج لن يقوم بمفعوله بشكل كامل إذا لم تقوم بتحديثه !
عليك إذن تحديثه ،،
وذلك باتباع التالي :
1- اختر زر أبديت .
http://www.4m.cc/files/msnbug/fig-3.5.gif
2- قم بالتعديل على الإعدادات .
http://www.4m.cc/files/msnbug/fig-4.gif
3 - قمك بإدخال المعلومات الخاصة باتصاالك ، البروكسي ومن ثم اضغط زر Connect
http://www.4m.cc/files/msnbug/fig-4.5.gif
بعد ذلك قم باختيار Start ثم Next
لتبدأ عملية التفحّص ..
بعد إتمام العملية ، ستظهر لك قائمة بأسماء الملفات كل ما عليك القيام به هو تحديدها عن طريق " المربعات أمام كل منها "
وبعد ذلك اختر Next لتتم عملية العزل أو المسح .
على هامش الفيروس :
+ صانع الفيروس ، قام بتشفير ملف الصفحة .. فعند محاولتك لفتح مصدرها لن يخرج لك إلا 3 سطور فقط !
أي أن عملية زرع الفيروس في جهازك مخفية عليك .. وإلا لكانت عملية اكتشاف الملفات المزروعة أمرا ً سهلا ً .
كذلك قام بوضع كود جافا سكربت ، الخاص بتعطيل شريط الحالة وشغله بنص معيّن ..
ومعلوم أن هذا قد يُبيّن الملفات التي تقوم بتحميلها أو الصفحات التي تقوم بفتحها .. ولكن مع وضع هذا الكود سيقوم بحجب حالة المتصفح !
http://www.4m.cc/files/msnbug/fig-5.gif
+ الغريب في الأمر أنك تفتح رابط ( على أساس أنها صورة ) ولكنك تتفاجئ كونها صفحة html ! ، وفعلا ً قد يكون نجح في إيقاع
الكثيرين في الفخ من خلال هذه الحركة ( لأنه ربما يقول البعض : صورة ، وش بتسوي يعني !! )