تويت
تكملة لما سبق
The FreeLinl :
وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة
VB ******************ing
حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو
Check this
وتكون الرسالة المصاحبة لهذا العنوان هي :
Have fun with these links. Bye
فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما :
c:windowslinks.vbs c:windowssystemrundll.vbs
أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز
HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV
ersionRunRundll
=RUNDLL.VBS
وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي
Free XXX links
وتحت العنوان تظهر الرسالة التالية:
This will add a shortcut to free XXX links on your desktop Do you want to continue?
ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثلmirc
MIRC32.exe Pirch98.exe
وسوف يقوم بتعديل الملفات التالية :
******************.INI EVENTS.INI
وذلك حتى يتمكن من إرسال
LINKS.VBS
إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين
والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي
VBS Freelink
كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه
أولا : قم بالبحث عن الملفات التالية
LINKS.VBS RUNDLL.VBS
و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما
ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك.
ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع
Regedit
وستجد القيمة التالية فيه فقط قم بمسحها تماما
HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV
ersionRunRundll
=RUNDLL.VBS
بعد ذلك قم بأعادة تشغيل الويندوز
Happy99 :
وهو أيضا يضع خادم له داخل جهازك تحت اسم
SKA.EXE
وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ ذلك. ثم يقوم بتغير الملف
WSOCK32.DLL
ويحتفظ بالملف الأصلي تحت اسم
WSOCK32.SKA
ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه
Happy99
وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها
الأسماء المستعارة لهذا البرنامج هي :
win32.ska ska wsocks.ska ska.exe
كيفية التخلص منة:
قم بالبحث عن الملفات التالية في المجلد التالي :
C:Windowssystem
SKS.EXE SKA.DLL WSOCK32.SKA
إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية :
SKA.EXE SKA.DLL WSOCK32.DLL
بعد ذلك قم بإعادة تسمية الملف
WSOCK32.SKA
إلى الاسم التالي
WSOCK32.DLL
:
فقط يستطيع التمكن من وندوز 95 و وندوز 98 وقد انتشر عن طريق البريد الإلكتروني تحت اسم
K2PS.EXE
حيث تقول رسالة هذا البريد الذي قد يصل إلى أي شخص أن هناك فيروس اسمه
TX-500
وأنه هو برنامج مضاد لهذا الفيروس. طبعا كما تعرف هذه كانت مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الإنترنت بالإضافة إلى كلمة السر الخاصة بك ثم التحكم به وبالبريد الإلكتروني لك. وأيضا يمكنه تغيير كلمة السر الخاصة بك. والطريقة المفضلة إذا أحسست بهذا التغير قم مباشرة بتغير كلمة السر ثم قم بإلغاء الملفات التالية
K2PS.EXE K2PS.CFG
قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب
Regedit ( شكل 1 )
ثم أذهب إلى القيمة التالية وقم بمسحها
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowCurrentVe
rsionC:
WINDOWSSYSTEMK2PS.EXE
Paradise :
وهو أقوى من برنامج
Back Orifice
ويحتاج أيضا إلى خادم يسمى
agent.exe
ويستطيع إلغاء ملفات وإنشائهم ويستطيع فتح وغلق النوافذ على جهازك ويستطيع عمل محادثة معك
chatting
ويستطيع عمل أشياء أخرى.
كيفية التخلص منة :
يمكنك التخلص منة باستخدام البرنامج
The cleaner
وسوف تجد هذا البرنامج في الموقع التالي :
www.dynamsol.com/puppet/thecleaner.html
PrettyPrk :
هذا البرنامج يستطيع الانتشار أيضا عن طريق البريد الإلكتروني. فعند تنفيذه سوف يقوم بإرسال نفسه إلى العناوين الموجودة في
windows address book
وسوف يخبر المستخدمين الموجودين على IRC
عند إعدادات النظام وكلمات السر. وسوف يقوم بنسخ نفسه داخل المجلد التالي
C:WindowsSystem
مع الملف
files32.VXD
أيضا سوف يقوم بتسجيل نفسه داخل القيمة التالية في سجل الويندوز
HKEY_CLASSES_ROOT exefileshellopencommandfiles32.vxd
فقط قم بإلغائها بالذهاب إلى أبدأ ثم تشغيل ثم أكتب
Rededit
ProMail :
انتشر كثيرا هذا البرنامج بطريقة
freeware و shareware
وقد انتشر تحت هذا الاسم
proml121.zip
وهو ملف غير مضغوط داخل هذا الملف
promail.exe
فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة. :كيفية التخلص منة إذا كان لديك هذا البرنامج
Promail
قم مباشرة بإلغائه
Sockets :
وهذا البرنامج خطير جدا وهو تقريبا فيروس. وهو لا يقوم فقط بتحميل خادم له ولكنة يصيب عددا من الملفات المنتهية بالأحرف
exe
وله نفس خصائص البرامج الأخرى التي تعمل معالبريد الألكتروني والأيسكيو
كيفية التخلص منة : باستخدام البرنامج
Anti Troie
وهو برنامج جيد للقضاء علية وسوف تجده في الموقع التالي :www.pobox.com/~cd
ZipFile :
وهو أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي . وهو يستطيع نشر نفسه بنفسه باستخدام البريد الألكتروني
فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية :
Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.
وعندما يتمكن من نشر نفسه باستخدام البريد الألكتروني فانه يقوم بإرسال نفسه مرة أخرى تحت اسم
Zipped_files.exe
إلى جميع العناوين التي استقبلت منهم رسائل سابقة مرفق به هذه الرسالة
Hi, username received your email and I shall send you a reply ASAP. Till then, take a look at this attached zip docs Bye
أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية :
DOC XLS PPt C CPP H
وللأسف فأنة صعب جدا إن تستعيد تلك الملفات باستخدام الأمر undelete
الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي :
worm.explore.zip win32.explore explore.zip
طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98 قم بالضغط على
CTRL ALT DEL
وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي
Zipped_files Explore _setup
ملاحظة مهمة : يجب أن تفرق بين اسم الملف السابق
Explore
وبين المتصفح
Explorer
فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية :
C:windows_setup.exe C:windowsExplore.exe
بعد ذلك قم بإلغاء الأسطر التالية والموجودة في
WIN.INI
باستخدام الأمر
Sysedit او msconfig
ثم اذهب إلى أبدأ ثم تشغيل والأسطر هي
run=setup.exe run=c:windowssystemexplore.exe
أيضا قم بإلغاء السطر التالي باستخدام الأمر
regedit
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe
rsionWindowsRun
c
copy
الموضوع مقتبس
The FreeLinl :
وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة
VB ******************ing
حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو
Check this
وتكون الرسالة المصاحبة لهذا العنوان هي :
Have fun with these links. Bye
فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما :
c:windowslinks.vbs c:windowssystemrundll.vbs
أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز
HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV
ersionRunRundll
=RUNDLL.VBS
وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي
Free XXX links
وتحت العنوان تظهر الرسالة التالية:
This will add a shortcut to free XXX links on your desktop Do you want to continue?
ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثلmirc
MIRC32.exe Pirch98.exe
وسوف يقوم بتعديل الملفات التالية :
******************.INI EVENTS.INI
وذلك حتى يتمكن من إرسال
LINKS.VBS
إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين
والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي
VBS Freelink
كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه
أولا : قم بالبحث عن الملفات التالية
LINKS.VBS RUNDLL.VBS
و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما
ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك.
ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع
Regedit
وستجد القيمة التالية فيه فقط قم بمسحها تماما
HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV
ersionRunRundll
=RUNDLL.VBS
بعد ذلك قم بأعادة تشغيل الويندوز
Happy99 :
وهو أيضا يضع خادم له داخل جهازك تحت اسم
SKA.EXE
وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ ذلك. ثم يقوم بتغير الملف
WSOCK32.DLL
ويحتفظ بالملف الأصلي تحت اسم
WSOCK32.SKA
ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه
Happy99
وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها
الأسماء المستعارة لهذا البرنامج هي :
win32.ska ska wsocks.ska ska.exe
كيفية التخلص منة:
قم بالبحث عن الملفات التالية في المجلد التالي :
C:Windowssystem
SKS.EXE SKA.DLL WSOCK32.SKA
إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية :
SKA.EXE SKA.DLL WSOCK32.DLL
بعد ذلك قم بإعادة تسمية الملف
WSOCK32.SKA
إلى الاسم التالي
WSOCK32.DLL
:
فقط يستطيع التمكن من وندوز 95 و وندوز 98 وقد انتشر عن طريق البريد الإلكتروني تحت اسم
K2PS.EXE
حيث تقول رسالة هذا البريد الذي قد يصل إلى أي شخص أن هناك فيروس اسمه
TX-500
وأنه هو برنامج مضاد لهذا الفيروس. طبعا كما تعرف هذه كانت مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الإنترنت بالإضافة إلى كلمة السر الخاصة بك ثم التحكم به وبالبريد الإلكتروني لك. وأيضا يمكنه تغيير كلمة السر الخاصة بك. والطريقة المفضلة إذا أحسست بهذا التغير قم مباشرة بتغير كلمة السر ثم قم بإلغاء الملفات التالية
K2PS.EXE K2PS.CFG
قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب
Regedit ( شكل 1 )
ثم أذهب إلى القيمة التالية وقم بمسحها
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowCurrentVe
rsionC:
WINDOWSSYSTEMK2PS.EXE
Paradise :
وهو أقوى من برنامج
Back Orifice
ويحتاج أيضا إلى خادم يسمى
agent.exe
ويستطيع إلغاء ملفات وإنشائهم ويستطيع فتح وغلق النوافذ على جهازك ويستطيع عمل محادثة معك
chatting
ويستطيع عمل أشياء أخرى.
كيفية التخلص منة :
يمكنك التخلص منة باستخدام البرنامج
The cleaner
وسوف تجد هذا البرنامج في الموقع التالي :
www.dynamsol.com/puppet/thecleaner.html
PrettyPrk :
هذا البرنامج يستطيع الانتشار أيضا عن طريق البريد الإلكتروني. فعند تنفيذه سوف يقوم بإرسال نفسه إلى العناوين الموجودة في
windows address book
وسوف يخبر المستخدمين الموجودين على IRC
عند إعدادات النظام وكلمات السر. وسوف يقوم بنسخ نفسه داخل المجلد التالي
C:WindowsSystem
مع الملف
files32.VXD
أيضا سوف يقوم بتسجيل نفسه داخل القيمة التالية في سجل الويندوز
HKEY_CLASSES_ROOT exefileshellopencommandfiles32.vxd
فقط قم بإلغائها بالذهاب إلى أبدأ ثم تشغيل ثم أكتب
Rededit
ProMail :
انتشر كثيرا هذا البرنامج بطريقة
freeware و shareware
وقد انتشر تحت هذا الاسم
proml121.zip
وهو ملف غير مضغوط داخل هذا الملف
promail.exe
فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة. :كيفية التخلص منة إذا كان لديك هذا البرنامج
Promail
قم مباشرة بإلغائه
Sockets :
وهذا البرنامج خطير جدا وهو تقريبا فيروس. وهو لا يقوم فقط بتحميل خادم له ولكنة يصيب عددا من الملفات المنتهية بالأحرف
exe
وله نفس خصائص البرامج الأخرى التي تعمل معالبريد الألكتروني والأيسكيو
كيفية التخلص منة : باستخدام البرنامج
Anti Troie
وهو برنامج جيد للقضاء علية وسوف تجده في الموقع التالي :www.pobox.com/~cd
ZipFile :
وهو أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي . وهو يستطيع نشر نفسه بنفسه باستخدام البريد الألكتروني
فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية :
Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.
وعندما يتمكن من نشر نفسه باستخدام البريد الألكتروني فانه يقوم بإرسال نفسه مرة أخرى تحت اسم
Zipped_files.exe
إلى جميع العناوين التي استقبلت منهم رسائل سابقة مرفق به هذه الرسالة
Hi, username received your email and I shall send you a reply ASAP. Till then, take a look at this attached zip docs Bye
أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية :
DOC XLS PPt C CPP H
وللأسف فأنة صعب جدا إن تستعيد تلك الملفات باستخدام الأمر undelete
الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي :
worm.explore.zip win32.explore explore.zip
طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98 قم بالضغط على
CTRL ALT DEL
وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي
Zipped_files Explore _setup
ملاحظة مهمة : يجب أن تفرق بين اسم الملف السابق
Explore
وبين المتصفح
Explorer
فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية :
C:windows_setup.exe C:windowsExplore.exe
بعد ذلك قم بإلغاء الأسطر التالية والموجودة في
WIN.INI
باستخدام الأمر
Sysedit او msconfig
ثم اذهب إلى أبدأ ثم تشغيل والأسطر هي
run=setup.exe run=c:windowssystemexplore.exe
أيضا قم بإلغاء السطر التالي باستخدام الأمر
regedit
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe
rsionWindowsRun
c
copy
الموضوع مقتبس