الخميس، 24 ديسمبر، 2009

تقرير عن فيرس خطير (الموضوع مقتبس ومذكور المصدر بأخر الموضوع)

موضوع مقتبس فقط للعلم و يوجد حل لهذه لهذه المشكله
===============
بسم الله الرحمن الرحيم
الفيروس الغير مسمى إلى كل أصحاب الشبكات ، إلى كل أصحاب مقاهي الانترنت، إلى كل من قهره هذا الفيروس العملاق، أنه معجزة برمجية أجل معجزة برمجية.الفيروس من أقوى فيروسات الشبكات و إن جاز تحديد مجاله، الفيروس عبارة عن مجموعة فيروسات في الحقيقة كل واحد يقوم بتنزيل الآخر ليتم تحويل جهازك في النهاية إلى ملهى ليلي للفيروسات.الفيروس الذي لم يقدر أيا من برامج مضادة الفيروسات حماية الشبكة منه و أن كان بعض هذه البرامج تحمي نزوله على الكمبيوتر فقط و من أول هذه البرامج برنامج Avira طبعا بعد التحديث .الآن لنبدأ معا متابعة طريقة دخول الفيروس على الجهاز و العمل :1- الفيروس يكون موجود له روابط على صفحات الانترنت المشبوهة يقوم أحد المستخدمين بفتح هذه الصفحة و بكل هدوء و بساطه يتنقل الفيروس للمرحلة التالية.2- يقوم الفيروس باستخدام JavaScript و بأكود تم العبث بها بطريقة قوية تنم على ذكاء المبرمج و أن كانت هذه الأكواد مشهورة على الانترنت و عن طريق أدوات ActiveX و أهمهم Flash Player و Real Player و غيره من المشغلات أو أدوات ActiveX بتنزيل ملف EXE من نوع Win32 على الكمبيوتر الخاص بالضحية و عن طريق أكواد الشل Sell Codes يتم تشغيل هذا الملف بعد تنزيله و هذا الملف يسمى rm.exe .بمجرد تنزيل هذا الملف و تشغيله . أصبح جهاز الضحية حفلة فيروسات . و ليست أي فيروسات . فيروسات لديها الحماية الكافية التي تجعل من مضادات الفيروسات عديمة الجدوى .3- طبعا كثيرا منا لدية مضادات ضعيفة و منا من ليس لدية أصلا . لذا فالأجهزة الضعيفة تكون بمثابة عش لهذا الفيروس . فبمجرد نزوله و تشغل ملف الفيروس الأساسي rm.exe يتم استدعاء باقي الفيروسات من على الشبكة أو من الملف نفسه و هذا ما لم نكتشفه حتى الآن. المهم أنه يقوم بتنشيط الفيروسات و عن طريق اتصال الملف rm.exe بواسطة ملفات DLL مهمة خاصة بالشبكات و النظام و هذه المكاتب هي : KERNEL32.DLL ، ADVAPI32.dll ، MSVCRT.dll ، USER32.dll . يتم إنشاء خادم اتصال بالانترنت على الجهاز و هذه من أخطر المراحل4- يقوم الفيروس بتحويل المسار الرئيسي للاتصال بالانترنت (Gate Way) من الروتر إلى جهاز الكمبيوتر الذي تم إنشاء الأدوات عليه فيصبح الاتصال ليس مباشراً . بل من الشبكة العالمية إلى الروتر إلى الكمبيوتر و منه إلى باقي أجهزة الكمبيوتر .أي أن الكمبيوتر الموجود علية الفيروس يحل محل الروتر .بمجرد دخول أي جهاز كمبيوتر في شبكة مع هذا الكمبيوتر فأن المطلوب منك فقط فتح مجلد شبكات الاتصال أو ملفات الاتصال Network Connections و أنتظر فقط.5- يتم إنشاء الاتصال بالشبكة و من الشبكة إلى المصدر الرئيسية و هو الخادم الذي أصبح مقر الفيروس الأساسي و الآن المطلوب منك فتح أي صفحة انترنت و لنفترض أنه www.google.com و فقط أنزل بنظرك قليلا إلى شريط الحالة في المتصفح الخاص بك stat bar و شاهد . أن المتصفح لا يذهب فقط إلى الموقع و لكن يذهب إلى عدة عناوين و تجد عناوين غريبة مكتوبة موجودة يتم عرضها للتمويه. هذا يعني أن اتصالك بالانترنت لم يكن مباشرا بل من المتصفح على الخادم إلى الانترنت . يعني أنك يجب أن تتصل به شئت أم أبيت . و هذا يعني أن الفيروس يجب أن يعمل في كل مره يتم فتح موقع انترنت فيها .6- الفري بمجرد نزوله يقوم بعمل خادم كما قلت و ليس هذا و حسب بل أنه يقوم بعمل مجموعة من الخوادم . و لنفترض أن لديك 10 أجهزة كمبيوتر في الشبكة . كل جهاز يعمل عليه الفيروس يقوم بتحويله إلى خادم و لكن هناك خادم واحد يعمل و الباقي في وضع الخمول إلى أن يكتشف أحد الخوادم الخاملة أنه لا يوجد خادم نشط يقوم بالانتقال هو الآخر لوضع النشاط و خدمه باقي أطراف الشبكة .هذا ما أستطيع قولة عن الفيروس المحدد
و لكن يبقى الآن أن تطلعوا على العناوين و بيانات الفيروس الأخرى
:1. الفيروس صيني الجنسية
2. الفيروس يقوم بتنشيط و تحديث نفسه بمجرد أي اتصال بالانترنت في الشبكة المصابة
3. عند توصيل جهاز غير محمي بالشبكة و الانتقال إلى شبكة أخرى يتم نقل الفيروس لها في أغلب الأحيان
4. الفيروس يقوم بفتح مواقع صينيه على جهاز الكمبيوتر في الخلفية
.5. الفيروس يقلل من إمكانيات المعالج لأنه يستهلك مساحة كبيره من الذاكر
ة6. الفيروس يقوم بإدخال قيم في Registry تشل الجهاز و مضادات الفيروسات عن صد هذا الفيروس
7. و لقد قمنا بمراسلة MacAfee و Data Center لإيقاف هذا الخادم عن خدمة الفيروس و قريبا إيقافه من البروكسي المصري عموما.
. بعض أنواع الفيروسات التي تعمل مع هذا الفيروس . هذا طبعا قبل تشغيل ملف rm.exe لأنه بعد ذلك لم أكن قادرا على تحديد الأنواع لأنهم كانوا في زيادة كبيره:• HEUR/HTML.Malware• EXP/Flash.Gen•
TR/Crypt.XDR.Gen• HTML/SHellcode.Gen• EXP/RealPlr.CT• JS/Dldr.Agent.cieالحل المتوقع :الفيروس ليس له أي أدنه حل إلا دخول الوضع الآمن و تنظيف الجهاز من كل الفيروسات و تنزيل أقوى برامج الحماية من الاختراق و التروجن و الذي سوف يمنع تنفيذ أي كود جافا ضار. و كذلك من IP الموجود بالأعلى.أما لأصحاب الشبكات فما زلنا صدد عمل برنامج يقوم بنقل الفيروس في وضع الخمول كليا . و كذلك منع عمل الفيروس أو أي جزء منه على الكمبيوتر
.هذا التقرير من إعداد : مبرمج و مطور مواقع : محيي الباز مسؤول شبكات : محمد ياسين
حل مشكلة هذا الفيرس موجوده
فقط أكتب عنوانك