فيروس جديد يصيب الجميع في الهوتميل

[ذو الفقار]

السلام عليكم
الاخوة الاعزاء

كان مجلد المستندات مليئا بكثير من المستندات وإذا بها في اليوم التالية خالية ومن دون فعل فاعل تعجبت وسألت أهل الخبرة فقالوا أنه فيروس يجعل الملفات مخفية ويقوم بالإرسال رسائل خاصة إلى المسجلين عندك بها ملف مرفق هو الفيروس نفسه ، وقد لا تكتشفه برامج الحمابة حتى اللتي في نفس الهوتميل لأنه جديد ، ولقد أرسل لي أحد المؤمنين هذه الرسالة التي تحكي قصته وومعلومات عن هذا الفيروس وكيفية التخلص منه .
لكني استطعت استرجاع مستنداتي لإنه فقط أخفاها ولم يحذفها ، لكن وكما يقول الخبراء في بعض أماكن تصليح الأجهزة أنهم لم يستطيعوا استرجاعها وقد تمت فرمتت الأجهزة .
يقول :
قصتي هي انني اصبت بفيروس وكانت القصة كالتالي:
ابتدأت الامور عندما بدأت استلم رسائل غريبة على بريد الهوت ميل بملفات مرفقة فهيها شاشات توقف ومن البداية اعطاني النورتن تحذير ان هذه الملفات فيها فيروسات فلم اكن افتح هذه الرسائل والتي كانت تهنار علي كالسبل يوميا وحاولت ان افلت منها دون جدوى .
الامور كانت عادية الى البارحة ليلا حينما اكتشفت ان بريدي الاخر ايضا مصاب بالفيروس وان هذا الفيروس بدأ نشاطه بارسال نفسه الى القائمة البريدة التي عندي فكان يرسل نفسه بكثر حتى ان احد الاصدقاء اتصل لي وقال انه وصلتني منك 50 رسالة
وبدا الاصدقاء الاعزاء (وللاسف) يفتحون رسائلي فبقعون في المصيدة التي وقعت فيها فقمت بارسال رسالة تحذير ولكن جاءت بعد فات القطار بعضهم ..
اما انا فاول خطوة حاولت القيام بها هي فحص النظام ببرنامج النورتن عندها اكتشفت ان الفيروس قام بتعطيل البرنامج ولم استطع تشغليه ففصلت الانترنت وقمت بازالته وتركيبه مرة اخرى دون جدوى وحاولت كذا مرة دون فائدة ..
الى ان انقطع الامل وليلة امس بدأ الفيروس خطوته الخبيثة حيث بدأ يمسح ملفات النظام فبدا البرامج تعطب عندي ولا تعمل فكان ان اغلقت الجاهز واخلدت الى النوم..
في التالي قمت بفرمته الجهاز واعادة تركيب البرامج وها انا اكتب اليكم
الفيروس اخوتي خطير جدا لانني مع انني مركب برنامج نورتن ومحدث حسب احدث اصدارة الا انه استطاع اختراقه ..
وعلى كل لكي لا تقع فيما وقعت فيه اليك هذه الملعومات على هذا الفيروس الخطير
وارجوا من اخواني الذي تظرروا ان يسمحوا لي على ما سببته لهم من اضرار وازعاج وحقا لا اعرف كيف اعبر لكم عن اعتذاري ..


ملعومات عن الفيروس
اسم الفيروس
WORM_YAHA.G
وهو حاليا في المرتبة الثانية من اخطر الفيروسات
واليك هذه الاحصاءات
كمبيوترات اصيبت بهذا الفيروس من شهر 6 / 2002
اوربا 466,024
شمال امريكا 59,564
اسيا 12,253
استراليا ونيوزلاندا 6,466
افريقيا 835


ونسبة تاثيره خطيرة جدا
وقد تكون انت من المتضررين

وهو يصل اليك على شكل رسالة فيها ملف مرفق:
وتكون الرسالة من اي ايميل يكون قد وقع تحت سيطرة الفيروس
اما ال Subject فتكون عشوائية بين هذه العبارات
a.. searching for true Love
b.. you care ur friend
c.. Who is ur Best Friend
d.. make ur friend happy
e.. True Love
f.. Dont wait for long time
g.. Free Screen saver
h.. Friendship Screen saver
i.. Looking for Friendship
j.. Need a friend?
k.. Find a good friend
l.. Best Friends
m.. I am For u
n.. Life for enjoyment
o.. Nothink to worryy
p.. Ur My Best Friend
q.. Say 'I Like You' To ur friend
r.. Easy Way to revel ur love
s.. Wowwwwwwwwwww check it
t.. Send This to everybody u like
u.. Enjoy Romantic life
v.. Let's Dance and forget pains
w.. war Againest Loneliness
x.. How sweet this Screen saver
y.. Let's Laugh
z.. One Way to Love
aa.. Learn How To Love
ab.. Are you looking for Love
ac.. love speaks from the heart
ad.. Enjoy friendship
ae.. Shake it baby
af.. Shake ur friends
ag.. One Hackers Love
ah.. Origin of Friendship
ai.. The world of lovers
aj.. The world of Friendship
ak.. Check ur friends Circle
al.. Friendship
am.. how are you
an.. U r the person?
ao.. U realy Want this
ap.. Romantic
aq.. humour
ar.. Wonderfool
as.. excite
at.. charming
au.. Idiot
av.. Bullshit
aw.. Funny
ax.. Great
ay.. LoveGangs
az.. Shaking
ba.. powful
bb.. Interesting
bc.. Interesting
bd.. Screensaver
be.. Friendship
bf.. relations
bg.. stuff
bh.. to ur friends
bi.. to ur lovers
bj.. for you
bk.. to see
bl.. to check
bm.. to watch
bn.. to enjoy
bo.. to share
اما الرسالة فايضا تاتي عشوائية مثلا:
a.. See the attachement
b.. Enjoy the attachement
c.. More details attached
d.. Hi Dear
Check the attach
See u
e.. Hi
Check the Attachement
Attached one Gift for u..
f.. wOW CHECK THIS
a.. Hey this is the program you been ask for, save it to disk and run this program, give me feed back ASAP OK...!


b.. Dear Customer
Thanks for your attentions to our programs, we glad you like it this is the other program you been asking about, save it to Disk and run it

c.. Dear Visitor,
Thanks for submiting to our site, this is the file you ask for..:)
after you run this program you can access our site with no Password required..!

d.. This file is needed by your antivirus program, save it to your disk, and run this patch
your Antivirus security Patch will be updated soon..!

e.. Hi..friends.., check out this screen saver, it's very cute.. , just save to disk or run it from your current كلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعة..!

f.. To : Microsoft Windows User
Dear Users, after we analize the problems you have been asking, with this file you can fix the problem in your MS-Windows, save this file to disk, and extract it in current Folder, and you will be prompt for installation folder.., and follow program instructions.
وكثيرا ما تكون الرسالة كالتالي
This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.
*********************************************

Enjoy this friendship Screen Saver and Check ur friends circle...
Send this screensaver from www.???? to everyone youconsider a FRIEND, even if it means sending it back to the personwho sent it to you. If it comes back to you, then you'll know youhave a circle of friends.
* To remove yourself from this mailing list, point your browser to: http://????/remove?freescreensaver

* Enter your email address (????) in the field provided and click "Unsubscribe".
* Reply to this message with the word "REMOVE" in the subject line.
This message was sent to address ????
>X-PMG-Recipient: ????]
><<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
>
>اما الملف المرفق فيكون عادة يحمل اللاحقة
a.. bat
a.. scr

واما اسم الملف فقد يكون:
a.. resume
b.. biodata
c.. dailyreport
d.. mountan
e.. goldfish
f.. weeklyreport
g.. report
h.. love
وحجم الملف عادة ما يكون 32,768 bytes
وفي بعض الاحيان يؤثر الفيروس دون ان تفتح الملف المرفق

اما ماذا يفعل الفيروس؟؟
فاول شي يقوم به ان يرسل نفسه عبر الايميلات الموجودة على جهازك وخاصة في البرامج التالية
a.. Windows Address book
b.. MSN Messenger
c.. Yahoo Pager List
d.. ICQ List

ثم يتغلل لديك في النظام ويبدأ بمسح الملفات الاساسية للنظام فتتعطل البرامج ورويدنا رويدا لا تسطتيع ان تفتح اي برنامج
وايضا من الامور التي يقوم بها اذا استفحل يقوم بمسح ملفات عشوائبة من على جهازك
واليك التفصيل:
يقوم بوضع السطر التالي في ملف registry
ويعمل كلما شغلت ملف exe
HKEY_CURRENT_USER\exefile\shell
open\command {Default} = %Recycled%\%Filename% "%1" %*

وعادة ما يدخل هذا الفيروس ويحفظ نفسه في مجلد recycled

وايضا يقوم باضافة نصوص ضمن ملف win.ini

فيقوم باضافة هذه العبارات

[EMAIL]
MAILED=TRUE

WORM NAME=I-Worm.Iwing
MY STATUS=...IS HERE...!

ثم يقوم هذا الملف المرفق بنسخ نفسه في مواضع كثيرة منها

a.. A:\Setup.scr
b.. \%System%\SSaver.scr
c.. \%System%\Nature_TRIAL120679_Full.ZIP.scr
d.. \%System%\Water_TRIAL_BETA_080279A.ZIP.scr
e.. \%System%\Mystery_FIX_FULL_DEMO120492A.ZIP.scr
f.. \%System%\3DFx_Fix311258Beta_PATCH.ZIP.scr
g.. \%System%\3DFxText_FULL281058_Demo.ZIP.scr
h.. \%System%\Fx3d_FULL_291182_DEMO.ZIP.scr
i.. \%System%\Nude_Patch_10110001_Beta.ZIP.scr
j.. \%System%\Animation_PATCH_12061979_Trial.ZIP.scr
أما الحل :

1 - تقوم بفحص جهازك ببرنامج انتي فايروس مثلا نورتن اما اذا كان الفيروس قد وصل الى النورتن وقضى عليه فيمكنك الاستفادة من المواقع التي تفحص جاهزك عبر الويب مثل http://www.trendmicro.com

2 - عند فحصك انتبه الى الملفات ذات الاسم WORM_YAHA.G.

3 - قم بفتح Windows Task Manager

وذلك ب CTRL+ALT+DELETE
وهنا ابحث عن الملفات السابقة التي رايتها في بحثك السابق

4 - قم باغلاق هذه الملفات بالضغط على end Task

5 - ثم لتعديل ملف Registry اتبع التالي

1.. Open a command prompt. Click Start>Run, type COMMAND then hit the Enter key.
2.. At the command prompt, type CD\ then hit the Enter key.
3.. Go to the Windows directory:
On Windows 9x/Me/XP systems
Type CD WINDOWS, then hit the Enter key.
On Windows NT/2000
Type CD WINNT, then hit the Enter key.
4.. Type REN REGEDIT.EXE REGEDIT.COM, then hit the Enter key.
5.. Type EXIT, then hit the Enter key.
6.. Open Registry Editor. Click Start>Run, type REGEDIT.COM then hit the Enter key.
7.. In the left panel, double click the following:
HKEY_CLASSES_ROOT>exefile>shell>
open>command
8.. In the right panel, locate the registry entry, Default, and check whether its value is the path and filename of the malware file.
9.. If the value is the file, right-click Default and select Modify to change its value.
10.. In the Value data: input box, delete the existing value and type the default value:
"%1" %*
11.. If you failed to terminate the malware program as described in the previous procedures, restart your computer.
واخيرا افحص جهازك وابحث عن ملفات WORM_YAHA.G

وقم بازالتها

والله يساعدنا ويساعدكم

و اسمحوا لنا مرة اخرى

[The Fierce]

شكرا على الموضوع

[محرر التصاميم]

مشكور على التنبيه ...

والله يبعدنا عنه ...

تحياتي

[الغزال]

وعليكم السلام ورحمة الله

الأخ العزيز / ذو الفـقار

شكرا جزيلا على الموضوع .. خلني الحين أشيك على جهازي :حيو:

[DIAMOND]

اقتباس: الرسالة الأصلية كتبت بواسطة أبوأكبر مشكور على التنبيه ... والله يبعدنا عنه ... تحياتي

[هـشــام]

:)