أنواع الفيروسات
تأخذ الفيروسات أشكالاً عديدة فقد تشبه الدودة في توالدها وتكاثرها وقد يتم إدخالها إلى النظام لتحدث التخريب المطلوب في توقيت معين أو عند حدوث واقعة معينة وفيما يلي بعض أشكال الفيروسات :
– حصان طروادة (Trojan Horse)
هو جزء صغير من الكود يضاف إلى البرمجيات ولا يخدم الوظائف العادية التي صممت من أجلها هذه البرمجيات ولكنه يؤدي عملاً تخريبياً للنظام وتكمن خطورته في أن النظام لا يشعر بوجوده حتى تحين اللحظة المحددة له ليؤدي دوره التخريبي .
– القنابل المنطقية (Logic Bombs)
القنبلة المنطقية هي أحد أنواع حصان طروادة وتصمم بحيث تعمل عند حدوث ظروف معينه أو لدى تنفيذ أمر معين فقد تصمم بحيث تعمل عند بلوغ الموظفين في شركتهم عدداً معيناً من الموظفين مثلاً أو إذا تم رفع أسم المخرب (واضع القنبلة ) من كشوف الرواتب وتؤدي القنبلة في هذه الحالة إلى تخريب بعض النظم أو إلى مسح بعض البيانات أو تعطيل النظام عن العمل .
– القنابل الموقوت (Time Bombs)
القنبلة الموقوتة هي نوع خاص من القنابل المنطقية وهي تعمل في ساعة محددة أو في يوم معين كأن تحدث مثلاً عندما يوافق اليوم الثالث عشر من الشهر يوم جمعه .
– باب المصيدة(Trapdoor)
هذا الكود يوضع عمداً بحيث يتم لدى حدوث ظرف معين تجاوز نظم الحماية والأمن في النظام ويتم زرع هذا الكود عند تركيب النظام بحيث يعطي المخرب حرية تحديد الوقت الذي يشاء لتخريب النظام فهو يظل كامناً غير مؤذ حتى يقرر المخرب استخدامه وكمثال على ذلك إقحام كود في نظام الحماية والأمن يتعرف على شخصية المخرب ويفتح له الأبواب دون إجراء الفحوصات المعتادة .
– الديدان (Worms)
الدودة هي عبارة عن كود يسبب أذى للنظام عند استدعائه وتتميز الدودة بقدرتها على إعادة توليد نفسها بمعنى أن أي ملف أو جهاز متصل بالشبكة تصل إليه الدودة يتلوث وتنتقل هذه الدودة إلى ملف أخر أو جهاز آخر في الشبكة وهكذا تنتشر الدودة وتتوالد .
طرق الوقاية من الفيروسات :
– تصنيف طرق الوقاية :
إذا أردنا وضع تصنيف لطرق الوقاية من الفيروسات فيمكننا وضع التصنيفات التالية لأساليب أو طرق الوقاية :
أولاً تعقب آثار الفيروس يمكن باستخدام أسلوب التوقيع الرقمي تتبع آثار الفيروس إلى مصدره وذلك من خلال استخدام (ِAudit Trail) ومن شأن ذلك أن يحجم مروجو الفيروسات عن إنتاجها وترويجها وأن يتوخى الجميع الحذر في هذا الصدد .
– أمصال التطعيم:
يترك الكثير من الفيروسات في البرامج المصابة معلومات عنها أو آثار لها وذلك لمنع إعادة إصابة هذه الفيروسات مرة أخرى لأنه لا ضرورة لذلك وقد استطاع متخصصو أمن المعلومات المهتمون بمقاومة الفيروسات صنع (أمصال) خاصة للتطعيم(Vaccines) وتقوم هذه الأمصال بتقليد عملية الإصابة بالفيروس وذلك بأن تضع هذه المعلومات التي يتركها الفيروس لعدم الإصابة في نفس المواضع التي يضع الفيروس فيها هذه المعلومات ولكن هذا الأسلوب من الدفاع يمكن هزيمته بسهولة إذا تعرض البرنامج لفيروس مختلف .
– الدفاع الذاتي للبرامج :
يستطيع كل مبرمج تصميم نظام دفاعي ضد الفيروسات وهناك أبحاث تقترح أن تضاف هذه الإمكانية لمترجمات البرامج (Compilers) وذلك حتى تقوم بتزويد البرامج في مرحلة الترجمة بهذا النظام الدفاعي وتكمن ميزة هذا الأسلوب في سهولة وسرعة تطبيقه ولكن بعيب هذا الأسلوب أنه لا يستطيع اتخاذ إجراء ضد الفيروس المهاجم إلا بعد تعرفه على هذا الفيروس وربما يكون الوقت عندئذ قد فات وبدأ الفيروس نشاطه الهدام .
– حصر الصلاحيات :
آليات الحماية في عظم النظم لا تتم صيانتها بشكل جيد من جانب مسئولي أمن النظام فتجد مسئولي أمن النظام يمنحون صلاحيات عديدة لكثير من المستفيدين إما بشكل منفرد أو كمجموعات وتتسع هذه العملية يوماً بعد يوم وتتعدد الصلاحيات الممنوحة حتى يصبح من الصعب حصر كل من له صلاحية التعديل على البرامج أو الملفات أو قواعد البيانات . من السهل في هذه الظروف أن تنتشر الفيروسات وبحصر الصلاحيات ومتابعتها يمكن أن ننشئ حائطاً دفاعياً مبدئياً في مواجهة الفيروسات كما يجب قصر حق تعديل الملفات على أقل عدد ممكن من المستفيدين .
– تعديل الوسائل :
صحيح أنه لا توجد وسيلة حاسمة تستطيع الكشف عن جميع الفيروسات ولكن استخدام وسائل متعددة يشبه تماماً وضع عوائق متعددة أمام المهاجم .
– الإجراءات من جانب الفرد :
يستطيع مستخدمي الحاسب الشخصي اتخاذ بعض الإجراءات التي تحمي إلى حد كبير بياناته ومنها :
1. احتفظ بنسخ احتياطية من البرامج والبيانات مأخوذة على فترات متقاربة .
2. احتفظ بهذه النسخ وبأصول البرامج في مكان آمن بعيداً عن الحاسب الشخصي .
3. احتفظ بسرية كلمة المرور وقم بتغييرها من وقت لآخر .
4. قم بتركيب نسخه حديثه من أحد برامج مكافحة الفيروسات .
5. احتفظ لديك بالرقم المتسلسل للجهاز وللقرص الصلب .
6. ا تقم بتحميل أي بيانات شخصية دون التنسيق مع مسئول أمن المعلومات .
7. عند حدوث مشكلة أو الشك بوجود فيروس اتصل فوراً بمسئول مساندة المستفيدين وأخطره بما حدث وبما قمت به من إجراءات .
8. ضع شريط الحماية أو أغلق فتحة التأمين للأقراص المرئية بعد الانتهاء من استخدامها لمنع الكتابة عليها بشكل غير مقصود .
9. افحص البرامج الجديدة قبل استخدامها للتأكد من خلوها من الفيروسات .
10. تأكد عند شراء البرمجيات الجديدة من أن الصندوق لم يفتح من قبل .
11. لا تستخدم النسخ المقلدة أو المنسوخة من البرامج .
12. عند إعادة استخدام أقراص مرنه قديمة قم بتهيئتها (Format)بدلاً من مجرد مسحها delete
– طرق التخلص من الفيروسات من جهاز الحاسوب :
عندما تصيب الفيروسات الأجهزة فإنها تقوم الدودة بنسخ نفسها باسم المجلد Ftpupd.exe، وبعد ذلك تنسخ نفسها إلى مجلد النظام (System) وعادة يكون ذلك المجلد في المسار التالي: (c:/windows/sysytem32)، ومن الممكن أيضا أن تقوم بنسخ نفسها تحت مسميات أخرى. بعد الإصابة، يبحث الملف عن ثغرات في النظام الأمني بالجهاز، لتقوم بالبحث عن أجهزة أخرى في الشبكة، والتي لا تتوفر فيها الحماية الملائمة والمطلوبة وتصيبها عن طريق نسخ نفسها إليها, وتصيب هذه الفيروسات الأجهزة التي ليس بها تحديث للويندوز أو تحديث لبرامج الفيروسات وعادة تظهر هذه الفيروسات على شكل شاشة تقول فيها إن النظام سوف يغلق نفسه بعد عدة دقائق
والآن هناك طريقتان للتخلص من الفيروسات :
– إذا كان الجهاز لم يصبه النصيب من هذه الفيروسات:-
ادخل على موقع ميكروسوفت وحمل هذا اللينك www.microsoft.com
– إذا كان الجهاز اخذ حظه من الفيروس :- ( فربنا معاك واتبع الخطوات بالضبط )
1. قم بعمل إيقاف لخدمة استعادة النظام:
لإيقاف خدمة إستعادة النظام إعمل ما يلي:
– إبدأ
– جهاز الكمبيوتر – إضغط عليه بزر الفأر الأيمن
– خصائص
– استعادة النظام
– ضع علامة على turn off system restore
– موافق
2. قم بتحميل الأداة التالية من موقع شركة سيمانتيك:
http://securityresponse.symantec.co…er/FixKorgo.exe
3. قم بتحميل هذا التحديث من موقع شركة ميكروسوفت:
http://www.microsoft.com/downloads/…;displaylang=en
( لا تنسى أختيار اللغة الملائمة لنظامك)
4. أغلق جميع نوافذ البرامج المفتوحة في جهازك.
5. أقطع الأتصال للشبكة من الجهاز.
6. قم بتشغيل أداة أزالة الدودة الذي قمت بتحميله.
7. بعد أنتهاء عمل البرنامج قم بأعادة تشغيل الجهاز.
8. بعد تشغيل الجهاز من جديد. قم بتركيب التحديث الذي تم تحميله من موقع ميكروسوفت.
9. قم باعادة تفعيل “خدمة استعادة النظام” .. كما يلي:
لتفعيل خدمة إستعادة النظام :
– إبدأ
– جهاز الكمبيوتر – إضغط عليه بزر الفأر الأيمن
– خصائص
– استعادة النظام
– أزل العلامة من turn off system restor
– موافق
10. أذا كان لديك نظام مكافحة قم بتحديثه.
11. في كل الأحوال من المفضل أن تقوم بتحديث نظامك من موقع ميكروسوفت، بالضغط هنا: http://windowsupdate.microsoft.com/
لمزيد من المعلومات حول هذه الدودة، يمكنك زيارة أحد الصفحات التالية:
– موقع شركة مكافي: http://us.mcafee.com/virusInfo
– موقع شركة سيمانتيك: http://securityresponse.symantec.co…32.korgo.f.html
أنواع الفيروسات وطرق التخلص منها:
شرح طريقه التخلص من الفيروس autorun
1. هذا الفيروس ينشىء ملفات باسم
C:\copy.exe
C:\host.exe
C:\autorun.inf
2. ومكان هذه الملفات في المسار C:\Windows
3. وتكون باسم
svchost.exe
xcopy.exe
وفىSystem32
4. ينشئ هذه الملفات
temp1.exe
rose.exe
temp2.exe
5. اعد تشغيل الجهاز ادخل من الوضعsafe mode
عند اعاده التشغيل اضغط على الزر F8
6. ثم اظهر الملفات المخفية
\ Tools \ view
Show hidden files and folders
7. أفتح مجلد الوندوز
C:\WINDOWS
8. ثم أبحث عن هذا المجلد واحذفه
svchost.exe
cxcopy.exe
9. أفتح مجلد النظام 32
System32
10. ثم أبحث عن هذا المجلد أو التطبيق وأحذفه
temp1.exe
rose.exe
temp2.exe
11. أفتح القسم C أوالقسم الذي قد نصبت النظام عليه
وأحذف هذه الملفات
copy.exe
host.exe
autorun.inf
12. تكرر هده العملية في الاقسام الاخرى ادا كان الهارد مقسم
13. أفتح قائمه start وrun واكتبregedit تتبع هذا المسار
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft
Windows \ CurrentVersion \ Run
14. من جهة اليمين احذف هذه القيمة
dll = “C:\system32\rose.exe
طريقة التخلص من فيروس Trojan.Redbrowser.A وكيفية التعامل معه
ظهر في الآونة الأخيرة فيروس تروجان لأجهزة الجيل الثالث ويعتبر من اخطر الفيروسات المهددة لاجهزة الجيل الثاني والثالث وهذه طريقة للتخلص من فيروس Trojan.Redbrowser.A وكيفية التعامل معه هو برنامج جافا ينزل مع التطبيقات على الجوال او عن طريق البلوتوث واغلبية برامج الحمايه لاتكشف هذا الفيروس الخبيث ماعدا كاسبر سكاي فهو الوحيد الذي يكتشفه وعندما يتم الحذف يرجع من جديد عند اصابة جهازك بهذا الفيروس اتبع الخطوات التالية :
عندما يكشف برنامج الحمايه كاسبر سكاي هذا الفيروس لاحظ اسم الملف المصاب داخل برنامج الحمايه
1. ادخل عن طريق اي متصفح على جهازك مثل Y-browser او اكس بلور
2. ادخل المتصفح وعن طريق الخيارات ثم الاعدادات قم بأظهار الملفات المخفيه وملفات النظام
3. ابحث في جميع الملفات C/E وامسح هذا الفيروس الخبيث : redbrowser.jar مع الملف المصاب
4. أيضآ امسح هذه الملفات التي لها علاقة بالفيروس
Manifest.mf
fs.class
fw.class
m.class
sm.class
icon.png
logo101.png
logo128.Pnh
5. أخيرا اخرج من المتصفح وبذلك تكون قد تخلصت من الفيروس
طريقة التخلص من فيروس Copy.exe
بداية يعتبر هذا الفيروس الذي أصاب الكثير من الأجهزة من الفيروسات المزعجة بحيث يمكن ضرره في إزعاج المستخدم وبعض البطيء في الجهاز ومشكلة في فتح أقسام الدرايف وبعض الرسائل في بدء التشغيل ويعتبر هذا الفيروس عنيد جدا حيث بعد فرمتة الجهاز يبقي أثره
طريقة تزيل الفيروس من الجهاز بالكامل وهي : استخدام أداة تزيل هذا النوع من الفيروس اسمها : مضاد فيروس Small.CHA_Removal
– النوع : دودة
– خطورة الفيروس : ضعيف
– ملفات الفيروس : Copy.exe – Host.exe – xcopy.exe – Autorun.inf – temp1.exe – temp2.exe
– مستوى صعوبة الإزالة : سهل .
– طرق الإنتقال : ينتقل على جميع وحدات التخزين القابلة للكتابة .
– كيف تظهر الإصابة : سيظهر ملف temp1.exe في عمليات إدارة المهام (ctrl + alt + delete)و سيشعر المستخدم ببطء استجابة محركات الأقراص لأمر الفتح .
– ما عليك سوى تنزيل البرنامج وتفعيله لتتم الازالة.
التخلص من فيروسات الايميل
انتشرت فى الفتره الاخيره فيروسات عن طريق الايميل وغالبتها تعمل بعد اسبوعين من التسلل الى الجهازطريقة التخلص من الفيروس إن وجد:
1. اذهب إلى إبدأ (Start) ثم
2. اذهب إلى جد , (Find) ثم
3. اذهب إلى ملف أو مجلد (Files or Folders) ثم
4. افتح ملف أو مجلد في البحث واطبع الكلمة التالية في حقل اسم ( jdbgmgr.exe ) ثم
5. اضغط على ابحث الآن ( Find Now) ثم
6. سيظهر لك ملف في السي ( c:windows\system32) وحجمه 15 كيلوبايت ونوعه Application وله أيقونه على شكل لعبة أطفال دبدوب (icon like a Grey Teddy Bear ) ثم
7. لا تفتح هذا الملف ((( إحذر))) لا تضغط دبل كلك عليه ولكن ضع مؤشر الفارة على الملف ثم بالزر الأيمن اضغط ضغطة واحدة سيظهر لك قائمة اختر منها حذف (Delete) ثم 8. الملف الذي حذفته سيكون في سلة المهملات Recycle Bin اذهب إليها ثم أفرغ سهلة المهملات كلها
9. بعد ذلك جهازك سيكون خالي من هذا الفيروس
10. لا تعتمد على برامج حماية الفيروسات في هذه الحالة ؟ لأنه ظهر عندي هذا الفيروس ولم يكتشفه برنامج الحماية عندما تنتهي أرسل إلى كل من لديك في قائمة العناوين Address book وأخبرهم بذلك لأن هذا الفيروس ينتقل عبر قائمة العناوين
فيروس WORM_CHIR.A
– النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني.
– أسماء الشهرة الأخرى :
W32/Chir@MM
I-Worm.Runouce
Win32/Chir.A@mm
– درجة الخطورة : متوسطة
– الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني ومن خلال الملفات المرفقة Attachments على الهيئة :-
From: iloveyou @ btamail.net.cn
Message Body:< >
Subject: Hi, i am
Attachment: P.exe
– طريقة العلاج :
1. افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2. ستظهر النافذة كما بالشكل رقم (1) من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3. إذا وجدت في القائمة اليمنى ملف التسجيل Runouce حدده ثم قم بإلغائه.
4. أعد تشغيل الجهاز.
5. امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات WORM_CHIR.A
فيروس PE_PERRUN.A
– النوع : ينتمى هذا الفيروس إلى قائمة فيروسات الملفات.
– أسماء الشهرة الأخرى :
W32.Perrun
W32/Perrun
– درجة الخطورة : متوسطة
– الوصف : ينتقل هذا الفيروس عبر ملفات الصور ذات الإمتداد JPEG وتعتبر درجة خطورته فى أغلب الأحيان بسيطة وتنحصر على ملفات الصور فقط.
– طريقة العلاج :
1. افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2. ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_CLASSES_ROOT>jpegfile> shell>open>command
3. من القائمة اليمنى حدد الملف Default ثم انقر عليه نقرا مزدوجا حتى يظهر مسار الملف.
4. تستطيع من هذا المسار أن تحدد ما إذا كانت ملفات الصور تحت الإمتداد JPEG متأثرة بوجود فيروس أم لا, إذا كان متأثرا فانقر بزر الماوس الأيمن على الملف ثم اختر Modify.
5. من مربع الحوار الذى سيظهر أدخل القيمة الآتية إذا كانت غير موجودة
rundll32.exe %System%\SHIMGVW.DLL,ImageView_Fullscreen
6. امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات PE_PERRUN.A
فيروس WORM_KELINO.A
– النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني.
– أسماء الشهرة الأخرى :
I-Worm.Kelino, KELINO.A
– درجة الخطورة : خطيرة
– الوصف : يصل هذا الفيروس إلى هدفه بواسطة 18 رسالة مختلفة كملف ملحق Attachment. ويهاجم البريد الإلكتروني ويرسل نفسه إلى أي عنوان يعثر عليه في دفتر العناوين في الجهاز الذي يصيبه كما يبطل مفعول البرامج المضادة للفيروسات. كما يستغل نقاط الضعف الموجودة في برنامجي البريد الإلكتروني Outlook و Outlook Express ومنذ تشخيصه للمرة الأولى, عثرت شركة Mcaffee المنتجة للبرامج المضادة للفيروسات على 775 ألف نسخة منه, ويصل عدد النسخ اليومية إلى نحو 20 ألف نسخة. ويعتبر هذا الفيروس مراوغ بقدر كبير وقادر على اختيار الأسماء بصورة عشوائية من دفتر العناوين ويستحدث انواعا كثيرة من الملفات نصوصا وملحقات, مما يجعل من الصعوبة بمكان تحديد مكانه وملاحقته. إضافة إلى قدرته على جعل برامج مكافحة الفيروسات عاجزة عن أداء دورها.
– طريقة العلاج :
1. افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2. ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3. من القائمة اليمنى حدد الملف %windir% الذى يأتي غالبا على الصورة :
C:\Windows:”netpatch” “%windir%\netbiospatch10.exe”
4. أعد تشغيل الجهاز.
5. افتح قائمة Start واختر الأمر Run ثم اكتب EXPLORER.EXE ثم انقر Ok.
6. انقر من الشاشة الجديدة View ثم اخنر الأمر Folder Options .
7. انقر التبويب View ثم نشط الاختيار Show All Files ثم Ok .
8. من مجلد التسجيل Registry احذف الملف netbiospatch10.exe ثم أعد تشغيل الجهاز.
9. امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات WORM_KELINO.A
فيروس VBS_LOVELETTR.AS
– النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Visual Basic- أسماء الشهرة الأخرى :
LOVELETTR.AS
LOVELETTER.AS
VBS_COLOMBIA
COLOMBIA
PRESIDENT AND FBI SECRETS
– درجة الخطورة : عالية
– الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني وبرنامج Microsoft Outlook ومن خلال الملفات المرفقة Attachments وبالأخص يوم 17 من كل شهر ويقوم بإلغاء جميع برامح تشغيل الشبكة وبرامج تصفح الإنترنت من النظام كما يسبب:
1. زيادة الوقت اللازم لتنفيذ بعض العمليات عن الوقت المعتاد
2. تأخر في تحميل البرامج إلي ذاكرة الكمبيوتر, وعدم تشغيلها بالكفاءة المعتادة.
3. ظهور رسائل تفيد بأنه لا توجد ذاكرة كافية لتشغيل البرامج, بالرغم من أن الذاكرة المتاحة كافية.
– طريقة العلاج :
1. افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2. ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3. احذف الملف LINUX32 من القائمة اليمنى.
4. افتح قائمة Start مرة أخرى واختر الأمر Run ثم اكتب Regedit وانقر Ok.
5. ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Services\reload
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\plan columbia
6. كرر نفس ما سبق ثم أعد تشغيل الجهاز.
7. امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_LOVELETTR.AS ثم حدد هذه الملفات أيضا وقم بمسحها:
c:\Windows\System\LINUX32.vbs
c:\Windows\reload.vbs
c:\Windows\important_note.txt
c:\Windows\System\US-PRESIDENT-AND-FBI-SECRETS.HTM
فيروس VBS_PETIK.I
– النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Visual Basic
– أسماء الشهرة الأخرى :
I-Worm.Petik.I
– درجة الخطورة : متوسطة
– الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني وبرنامج Microsoft Outlook ومن خلال الملفات المرفقة Attachments على الهيئة:
Subject: What is the seven sins??
Message Body: Look at this file and learn them.
Attachment: Seven.vbs
ويقوم بإلغاء جميع خواص الماوس ولوحة المفاتيح من النظام.
– طريقة العلاج :
1. افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2. من النافذة التى ستظهر, ومن القائمة اليسرى افتح المجلدات الآتية :
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
3. احذف الملف C:\Windows\System من القائمة اليمنى, أو الملف :
C:\WinNT\System32:Envy = %system%\envy.vbs
4. افتح المجلد الآتي :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Services
ثم احذف ملف التسجيل الآتى Lust = %system%\lust.vbs
5. افتح المجلد الآتي :
HKEY_CURRENT_USER > txtfile > shell >open > command
ثم انقر ملف التسجيل Default من القائمة اليمنى وقم بالتعديل الآتي من :
{Default} = wscript %windows%\Seven.vbs
إلى :
{Default} = %windows%\NOTEPAD.EXE %1
حيث أن %windows% هو مسار برنامج Windowsوهو عادة على هيئةC:\Windows or C:\WinNT
6. افتح المجلد الآتي :
HKEY_CURRENT_USER > VBSfile > DefaultIcon
ثم انقر الملف Default من القائمة اليمنى وقم بالتعديل الآتي من :
{Default} = shell32.dll,-152oldicon = %windows%\Wscript.exe,2
إلى :
{Default} = %windows%\Wscript.exe,2oldicon = %windows%\Wscript.exe,2
ثم إلغ الملف oldicon.
7. احذف الملف الآتي من سطح المكتب COPYRIGHT.txt.vbs ثم أعد تشغيل الجهاز.
8. امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_PETIK.I
فيروس PE_MOE.A
– النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني التي تستخدم بروتوكول Simple Mail Transfer Protocol في التنقل تحت الإمتداد *.exe و *.scr
– أسماء الشهرة الأخرى : MOE.A
– درجة الخطورة : متوسطة
– الوصف : يقوم هذا الفيروس بالتنقل عبر البريد الإلكترونى كملف مرفق وينتج نسخة من نفسه عبر كل رسالة. ولقد وصل هذا الفيروس إلى العالم العربي قادما من استراليا والشرق الأقصى, وبدأ أول تأثير له على مؤسسات المال والإعلام في العاصمة البريطانية. وتعتقد الشركات المتخصصة بمكافحة فيروسات الكمبيوتر أن الوباء الجديد سيكون من أوسع أوبئة الكمبيوتر انتشارا هذا العام ويشك بعض خبراء مكافحة الفيروسات ممن فحصوا الفيروس الجديد والصفحات التي يقوم بإرسال المستخدمين إليها, أنه ليس سوى محاولة قام بها البعض لزيادة عدد الزوار إلى مواقعهم الإباحية. ويأتي انتشار الفيروس الجديد بعد مرور سنة واحدة بالضبط على انتشار فيروس مدمر آخر هو فيروس الحب الذي أدى إلى أضرار كبيرة في العديد من المؤسسات في شتى أرجاء العالم. ومن الجدير ذكره أن الفيروس الجديد لا يصيب سوى مستخدمي برنامج Outlook Express فقط.
– طريقة العلاج :
1. افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2. ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3. قارن من القائمة اليمنى قيم ملفات التسجيل.
4. احذف جميع الملفات التي تحتوي على قيم غير صحيحة.
5. أعد تشغيل الجهاز.
6. قم بمسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات PE_MOE.A
فيروس BKDR_LITMUS.002
– النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Backdoor
– أسماء الشهرة الأخرى :
TROJ_BCKDR.JZ-1
BACKDOOR.JZ
TROJ_BCKDR.JZ-2
LITMUS.002
LITMUS
– درجة الخطورة : عالية
– الوصف : هذا الفيروس المدمر يتيح الفرصة لمخترقى أجهزة الكمبيوتر من استغلال أجهزة المصابين به في التحكم الكامل بالجهاز وإجراء أي تصرف كما لو كان جهازه.
– طريقة العلاج :
1. افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2. ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
3. احذف ملف التسجيل Taskschd من القائمة اليمنى.
4. احذف المجلد TRAYWND.EXE.
5. أعد تشغيل الجهاز.
6. امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات BKDR_LITMUS.002.
فيروس VBS_JADRA.A
– النوع : ينتمى هذا الفيروس إلى قائمة فيروسات VBScript.
– أسماء الشهرة الأخرى :
VBS.Jadra
VBS.Madonna.a
– درجة الخطورة : عالية
– الوصف : يقوم هذا الفيروس المدمر بالتمكن من جميع ملفات VBS ويقوم بإضافة ملفات تسجيل أخرى إليها لعمل على تشغيل الملفات الآتية عند بداية عمل Windows
DEFRAG.EXE
WINFILE.EXE
EXPLORER.EXE
CDPLAYER.EXE
COMMAND.COM
– طريقة العلاج :
1. افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2. ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
3. احذف جميع ملفات التسجيل الآتية من القائمة اليمنى:
Don’t_Cry_for_me_Argentina = Explorer.exe c:\windows\Explorer.exe %
JadraquerKiller = Command.com c:\windows\Command.com %
ZoneAlarm Pro = Cdplayer.exe c:\windows\Cdplayer.exe %
AVPCC = Defrag.exe c:\windows\Defrag.exe %
AVP_Monitor = Scandskw.exe c:\windows\Scandskw.exe %
NAVDefAlert = Winfile.exe c:\windows\Winfile.exe %
McAfeeVirusScanService = Winfile.exe c:\windows\Winfile.exe %
4. افتح المجلد HKEY_CURRENT_USER ثم احذف الملف MyRegKey.
5. أعد تشغيل الجهاز.
6. امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_JADRA.A.
فيروس WORM_APLORE.A
– النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني
– أسماء الشهرة الأخرى :
APLORE.A
Worm.Psecure
APLORE
-درجة الخطورة : متوسطة
– الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني ومن خلال الملفات المرفقة Attachments كما ينتقل أيضا عبر الملفات المحملة Downloaded من مواقع الإنترنت, ويقوم بإنشاء مفتاح تشغيل ذاتي لملف التسجيل Redegit عن بداية تشغيل الجهاز كما إنه يستقر بالذاكرة الداخلية للجهاز وينشر نفسه إلى المواقع الأخرى عن الدخول على الإنترنت
– طريقة العلاج :
1. افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2. ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3. احذف ملف التسجيل Explorer=%SYSTEM%\explorer.exe من القائمة اليمنى.
4.أعد تشغيل الجهاز.
5. احذف جميع الملفات الآتية من Windows System Directory:
EXPLORER.EXE (copy of itself)
PSECURE20X-CGI-INSTALL.VERSION6.01.BIN.HX.COM (copy of itself)
EMAIL.VBS (detected as VBS_PSECURE.A)
INDEX.HTML (detected as HTML_PSECURE.A)
APHEX.JPG (image)
HWND32.DLL (program usually truncates to 0 byte)
6. امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات WORM_APLORE.A