السلام عليكم ورحمة الله وبركاته
اخواني الاعزاء وجدت موضوع متعلق بالفيروسات المنتشره هذه الايام وطريق التخلص منها فحبيت الفائده للجميع بأن تنتبهوا منها وتحذروا واكثر ما تكون موجوده في الهوت ميل بحجم 47 ك و46 ك وباسماء مختلفه




المواصفات الفنية للفيروس


عند تشغيل فيروس ياماها اول شي يقوم بنسخ نفسه في في ملفات مخفية بهذه الاسماء والامكان
C:\%System%\WinServices.exe.
C:\%System%\Nav32_loader.exe
C:\%System%\Tcpsvs32.exe

يقوم بتحديد مكان مجلد الوندوز وينسخ نفسه في هذه الموقع بصفة ثابته
وذلك حسب اصدار الوندوز
NOTE: %System% is a variable. The worm locates the Windows system folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows 2000/NT/), or C:\Windows\System32 (Windows XP).


يقوم بعمل صيغة وقانون في الرجستري بالقيمة التالية
WinServices.exe C:\%System%\WinServices.exe

وفي الرجستري في هذه المواقع


HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run
HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices

وبذلك يقوم الفيروس بتشغيل نفسه كل مرة تقوم بتشغيل الجهاز فيها

يقوم الفيروس باعداد نفسه ليقوم بتشغيل نفسه كل مرة على اساس انه ملف تطبيقي وذلك بتغير قيمته الخاصة في الرجستري
HKEY_LOCAL_MACHINE\Software\Cl asses\exefile\shell\open\comma nd
to
C:\%System%\WinServices.exe"%1 %*

وقد يقوم الفيروس بنسخ نفسه في مجلد
\Windows\System
بهذه الاسماء
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr


يقوم الفيروس باغلاق ملفات مكافحة الفيروسات والحماية وذلك بعمل قانون لها يمنعها من ايقاف اي ملف يحمل اي من الاسماء التالية
REGEDIT
ACKWIN32
F-AGNT95
SWEEP95
VET95
N32SCANW
_AVPM
LOCKDOWNADVANCED
NSPLUGIN
NSCHEDNT
NRESQ32
NPSSVC
NOD32
_AVPCC
_AVP32
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
TDS2-98
SCAN32
PCFWALLICON
NSCHED32
IAMSERV.EXE
FRW.EXE
MCAFEE
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
RMVTRJANSAFEWEB
WEBSCANX
PVIEW
ANTIVIR


المواصفات الخاصة بالايميل
يقوم الفيروس باستخدام ملقمات البريد الوارد والصادر الخاصة به وذلك ليقوم بارسال نفسه لكل ايميل موجود في ملف الايميلات بنظام التشغيل وندوز او في المسنجر هوت ميل والياهو بيجر وكل الملفات التي تحمل في الاكستنشن الحرفين اتش وتي ويحمل الفيروس اكثر من ملقم بريد وارد وصادر يمكنه استخدامها
وذلك ببرمجة عبقرية تم بها صنع هذا الفيروس

عنوان رسالة الفيروس عادة تكون
Are you the BEST
Free Win32 API source
Learn SQL 4 Free
I Love You..
Wanna be like a stone ?
Are you a Soccer Fan ?
Sexy Screensavers 4 U
Check it out
Sample PlayboyAdmin

والملفات المرفقة لهذا الفيروس عادة تكون بهذه المسميات والامتدادات
The_Best.scr
Codeproject.scr
SQL_4_Free.scr
I_Love_You.scr
Stone.scrFunny.scr
Hotmail_hack_exe.scr


وعادة يكون اسم المرسل بهذه المسميات
Klein Anderson
Codeproject
SQL Library
me2K
Rocking Stone
Super Soccerand
لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة
لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة
لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة
لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة
لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة athy@21cn.comav_patch@trendmic ro.com
لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة
لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة
لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة

اذا كان تاريخ جهازك هوه 25 مارس او 22 مايو راح تظهر لك رسالة تقول
Happy Birthday Dear

واذا كان يوم الجهاز هو الخميس راح يقوم الفيروس بعمل الاتي
اولا يقوم بعمل عشوائي لوضع الصفحة الرئيسية للمتصفح وذلك بالتحكم في الرجستري
HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main

to one of these:
على احد هذه العناوين

http:/ /www.unixhideout.com
http:/ /www.hirosh.tk
http:/ /www.neworder.box.sk
http:/ /www.blacksun.box.sk
http:/ /www.coderz.net
http:/ /www.hackers.com/html/neohaven.html
http:/ /www.ankitfadia.com
http:/ /www.hrvg.tk
http:/ /www.hackersclub.up.to
http:/ /geocities.com/snak33y3s

استعادة محتويات المستندات الخاصة بالمستخدم
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\CurrentVersion\ Explorer\Shell Folders

عمل ملف تكست على سطح المكتب وبحالة مخفية وارشيف ويحتوي الملف على الاتي
============================== ==============================
r0xx pReSaNt$ W32.@YerH$.B (all r1ght$ re$erv3d.. )
w3 aRe tHe gRe@t 1nD1aN$..
------------------------------------------------------
m@iN mIssIoN iS t0 sPreAd tHe nAmE @YerH$
s00 mUch t0 c0me..
iNclUdEd DDoS c0mp0neNtS c@usE oF sHiT p@kI l@meRs

eXp3ct th3 uNeXp3ctEd

dEdic@t3d t0 : mY b3$t fRi3nD
============================== ==============================
>> لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة
or

============================== ====================
W32.@YerH$.B,Made in India,
wE aRe thE greAt iNdIaNs..
----------------------------
aBouT mE :
jUst a c0mputEr gEEk..
i tHinK i aM sTill a sCripT kiddiE..
eDucAtiOn : sCh00l sTudEnt..
aBouT @YerH$.B:
n0 dEstrucTivE paYload$ f0r inFecTeD c0mpUteRs.
teRminAtioN oF aV + FireWaLL f0r sUrvIvaL.
tImE dEfiNed tRigErRinG.. jUst f0r fUn.. n0 paYloaD.
c0ntAinS bUg iN rEpliCation c0de.. no tIme t0 fiX.
g0nNa fiX iT iN nExt rElEase..
n0 m0rE $hiT
============================== =====================
>> لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة

or

============================== ====================
W32.@YerH$.B,Made in India,
wE aRe thE greAt iNdIaNs..
----------------------------
spEciAl 10x to c0bra..
f0r inSpirAtIon + c0dIng hElp..
============================== ====================
>> لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة

or

============================== ========================
W32.@YerH$.B,Made in India
wE aRe thE greAt iNdIaNs..
----------------------------
wAnT peAce aNd pr0speRity in InDiA ?..
f**k tHe c0rruptEd p0litiCian$..no shit$ nEEdeD..
mErA bhAraT mAhaN ??.. n0t yeT..wE nEEd t0 mAkE iT..
talenT & hArd w0rK shOulD be rEspEctEd..
sElf stYleD a**H***$ mUsT bE eLimInatEd....
n0 m0re $hiT m0n0p0lY..
============================== ========================
>> لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة

or

طريقة التخلص من الفيروس
اذا نزلت الفيروس وشغلته اول شي تعمله هوه تحديث النورتن انتي فايروس
اعادة تشغيل الجهاز
نسخ ملف
Copy Regedit.exe
الى
Reg.com
وذلك حسب الخطوات التالية وحسب نظام التشغيل الخاص بجهازك


بعد تعديل الرجستري
قم باعادة تشغيل الجهاز
قم بتشغيل برنامج مكافحة الفيروسات واذا لم يقم بتشغيل نفسه
قم بتحميل المف التالي وهو التحديث الذكي الخاص بازالة هذا الفيروس
لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة

لمستخدمين نظام وندوز 95 و 98 يقوم بالذهاب الى

أبدأ ثم البرامج وبعد ذلك يقوم باختيار ايقونه

MS-DOS

وبذلك راح تفتح لك شاشة الدوس

بعد كذا انتقل للخطوة الثانية

اما لو كنت تستخدم نظام وندوز ملينيوم

اذهب الى ابدأ ثم برامج بعد ذلك برامج ملحقة ثم MS-DOS

اما بخصوص مستخدمين وندوز ان تي و 2000

فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس

أكتب فيها الامر التالي
cd \winnt

ثم انتقل للخطوة الثانية

لو كنت تستخدم وندوز اكس بي

فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس

أكتب فيها الامر التالي
cd \windows


الخطوة الثانية قم بكتابة الأمر التالي

copy regedit.exe reg.com

اضغط انتر
ثم اكتب الامر التالي
start reg.com
وأنتر


بعد اتمام هذه العملية عليك ان تقوم بتعديل الرجستري وذلك حسب الخطوات التالية
HKEY_LOCAL_MACHINE\Software\Cl asses\exefile\shell\open\comma nd

روح على تشغيل
RUN
اكتب فيها
REGEDIT
واحظ ملف الرجستي القديم عشان اذا خبصت ما تروح وطي
وتحفظه بانك تروح لكلمة رجستري فوق وتقوله اكسبورت رجستري فايل وتحفظ الملف في مكان كويس وبعد كذا اختار

HKEY_LOCAL_MACHINE
ثم
Software
بعد كذا
Classes
ثم
exefile
ثم
shell
ثم
open
ثم
command
وبعد كذا دبل كلك على كلمة ديفولت وغير القيمة الموجودة للقيمة هذه
"%1" %*
وهية
علامة تنصيص + علامة المئوية +رقم واحد + علامة تنصيص +مسافة + علامة مئوية +نجمة

بالنسبة لوندوز 95 و 98 ووندوز ان تي راح تكون هذه القيمة موجودة اول ما تضغط على زر الاوكي وراح تظهر بهذا الشكل
""%1" %*"
نلاحظ علامة تنصيص زايدة وهذه ما راح تظهر لو كان نظام التشغيل
الوندوز 2000 والاكس بي
بعد كذا روح واتاكد من مجلدات الرجستري هذه

HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run
HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \RunServices

وبنفس الطريقة السابقة تقدر توصل لها
بعني

HKEY_LOCAL_MACHINE
ثم
Software\Microsoft
ثم
Windows
ثم
CurrentVersion
ثم
Run
وتتاكد اذا

من حذف هذه القيم من الجهة اليمين
WinServices.exe C:\%System%\WinServices.exe


وبعد كذا تقوم باعادة تشغيل الجهاز
والحمد لله رب العالمين

جميع الحقوق محفوظة لقروب يابدوو ويحق لكل من اراد الاستفادة من الموضوع ان ينشهر شريطة ان يذكر المصدر وعنوان القروب

لتشاهد الرابط ضع رداَ لائقاً ثم حدث الصفحة
وتقبلوا تحاتي

السلام عليكم
مشكور أخوي أبو عمر يحفظك الله
على هذا الموضوع والشرح الوافي فيه
والله يخلصنا من هذه الفيروسات المدمره
وتسلم يالغالي
الله يعطيك العافيه
ولك تحياتي

الحقيقة والله ما قصرت .. وآلف الف شكر لهذا المجهود

شكرا اخي ابوعمر

سباق للخير دائما
احترامي

مشكوررررعلي المجهود