مهم جدا : - (( إذا طالبك جهازك اليوم باغلاق نفسه هنا الحل ))

الثائر · 13-08-2003, 11:09 AM

مستفيداً من ثغرة في ويندوز فيروس بلاستر ينتشر عبر النت ..

انتشر في الحادي عشر من أغسطس الجاري فيروس من نوع الدودة تبلغ خطورته من متوسط إلى عالي الخطورة يسمى W32.Blaster.. وينتشر الفيروس المذكور عبر الإنترنت مستغلا ثغرة موجودة في ويندوز، حتى بدون أن يقوم المستخدم بأي عمل. وعندما يعمل يقوم الفيروس في جهاز ما فإنه يقوم بفحص نطاق معين من أرقام IP، للبحث عن بورت يمكن اقتحامه ، كما يحاول نشر نفسه عبر الإنترنت.. ويقوم الفيروس بتركيب نفسه على المجلد WINDOWS SYSTEM32 ، ثم يقوم بتنفيذ نفسه. وقد يتسبب الفيروس بإيقاف النظام بشكل كامل، كما يهدف كذلك إلى الانتشار بأكبر قدر ممكن عبر شبكة الإنترنت.
ويمكن أن تتأثر بالفيروس ( الذي لم يعرف مصدره حتى الآن ) الأنظمة التالية: ويندوز 2000م، ويندوز XP. أما الأنظمة التي لا تتأثر به فهي: لينكس، ماكينتوش، ويندوز95، ويندوز 98، ويندوز ميلينيوم. وبينما اعتبرته شركة مكافي متوسط القوة ، فقد اعتبرته شركة نورتون عال الخطورة.
كيفية معرفة وجوده الفيروس
يمكن معرفة وجوده بشكل سريع عبر الطرق التالية:
وجود ملفات TFTP غير عادية.
وجود ملف msblast.exe في مجلد WINDOWS SYSTEM32.
رسائل خطأ تؤدي إلى اعادة تشغيل النظام.
ويحاول الفيروس أن يقوم بمنع خدمة تحديث الويندوز، وذلك لمنع تنزيل برنامج مضاد.. ويبلغ طوله 6176بايت..
علاج الفيروس
تعتبر إزالبة الفيروس سهلة ، حيث يمكن ايقاف بالدخول على موقع الشركات المضادة للفيروسات ( مثل نورتون ) وتنزيل أداة خاصة تسمى FIXBLAST وتشغيلها. أو بتحديث برنامج نورتون انتي فيروس من البرنامج نفسه ثم تشغيله على الجهاز المصاب بعد التأكد من أنه يقوم بفحص جميع الملفات.. وعند الوقوف عند ملف W32.Blaster.Worm اختر حذفه.
وللفيروس أسماء أخرى حسب الشركات التي اكتشفته ومن هذه الأسماء : msblast.exe. tftp. W32.Blaster.Worm (Symantec). Win32.Poza (CA). WORM_MSBLAST.A (Trend) .W32/.worm.Lovsan.

أما الخطوات اليدوية لإيقاف الفيروس فهي:
1- اضغط على Ctrl+Alt+Delete مرة واحدة..
2- اختر Task Manager.
3- اختر الخيار Processes.
4- ابحث عن الاسم msblast.exe من القائمة.
5- إذا وجدته اختره ثم اضغط انهاء العملية End Process
6- اخرج من Task Manager .
ولا يزال من المبكر معرفة مدى انتشاره في أنحاء العالم بعد، رغم أن شركة نورتون قالت بعد يوم واحد من بدء انتشاره، بأن سرعة انتشاره عالية..

نقلا عن جريدة الرياض السعودية

=======================================

إذا طالبك جهازك اليوم باغلاق نفسه هنا الحل
أخواني
من لديه مثل هذه الصورة:

مهم جدا : - (( إذا طالبك جهازك اليوم باغلاق نفسه هنا الحل ))

فالحديث عن فيروس جديد اسمه DCOM RPC

وهو يستغل ثغرة في نظام الأمان لويندوز ويستغل البروتوكول المدعو RPC.

المعلومات المتوفرة حاليا عن الفيروس هي كالتالي:
الفيروس بدأ انتشاره منذ ساعات الظهيرة الأولى من يوم الأثنين والذي أخذ ، مؤقتا الأسم : "RPC DCOM", الـ RPC هو أحدى الخدمات المسؤولة عن بعض العمليات والتمهيدات في الأجهزة ويعمل على المنفذ رقم 135. الهجمة هذه التي بدأت مساء اليوم تصيب أحد الثغرات الحساسة لأنظمة ميكروسوفت. ونظام الأكس بي يصل المستخدم والتعريف الأفتراضي للخدمة هذه - RPC - هو : إعادة تشغيل النظام في حالة حدوث فشل في هذا النوع من الخدمة.
ولهذا الحل الأضافي هو اضافة فايير وول FIREWALL الذي يمكنه حجب هذا المنفذ - 135.
أما عن الأضرار فمؤقتا لا ضرر للفيروس سوى الأزعاج، وإعادة تشغيل الجهاز.

إذا جد جديد فسأقوم بإعلامكم.

ما العمل؟

إذا لم تصب بالفيروس:

1- قم بتحديث النظام لديك أو حمل تحديث ميكروسوفت لنظامك من هنا:
http://microsoft.com/technet/treeview/defa...in/MS03-026.asp

التحديث الخاص بهذه المشكلة

http://download.microsoft.com/download/9/8...980-x86-ENU.exe

لباقي الأنظمة

http://www.microsoft.com/technet/treeview/...in/MS03-026.asp

2- اذا كنت تعمل مع نورتون تجد المشكلة والتحديث لأزالة الفيروس هنا:
http://securityresponse.symantec.com/avcen...aster.worm.html

إذا أصاب الفيروس جهازك:

أبحث في جهازك عن ملف يدعى بــ msblast.exe ، وقم بحذفه. إذا لم يتم الحذف أغلق الملف من الــ (Task manager) . أو بمساعدة برامج مثل EndItAll.
يمكنكم تحميله من هنا :

http://safsquad.com/Files/EndItAll2.zip

أغلق الملف وابحث عنه من جديد كي تحذفه.

وهذا التحديث الآخير للنورتون والذي يحوي تحديث ازالة هذا الفيروس:
http://securityresponse.symantec.com/avcen...811-019-i32.exe

------------------------------------------------
=======================================
حل آخر فتاك للفيروس الجديد الذي يعيد التشغيل
هذا حل جديد لمن لم يتمكن من إزالة الفايروس اللعين:

أدخل لوحة التحكم --------> أدوات إدارية ------> خدمات

تحت الأسم أبحث عن (Remote procedure call RPC)

أنقر عليه بزر الفأر الأيمن -------> خصائص --------> الأسترداد

----------------------------------------------
أدوات إدارية = Adminisrative Tools
خدمات = services
----------------------------------------------

في "الفشل الأول" و"الفشل الثاني" و"الفشل اللاحق" بدل (إعادة تشغيل الكمبيوتر) بــ " إعادة تشغيل الخدمة".

موافق . أعد تشغيل الجهاز وسينتهي هذا الكابوس المزعج إن شاء الله.

============================================

لمتابعة مستجدات الفايروس وتحميل ملفات التحديث وحذف الفايروس
http://www.abunawaf.ws/forum/index.php?act...=ST&f=7&t=16031

©™«الثــــــ king net ــــــائر»™®

أبوغريب · 13-08-2003, 02:29 PM

وبإمكانك أيضاً تركيب برنامج zone alarm لتفادي المشكلة حتى لو كان البرنامج تجريبي حيث شيشتغل معك الانترنت عادي ولا تنسى تركيب مكافي 7 لتفحص الفيروسات

تحياتي أبوغريب

محمد رضا · 13-08-2003, 08:49 PM

السلام عليكم ورحمة الله وبركاته

نعم نشكرك على الأهتمام و لكن من المعلومية لدي معلومية أن فقط

في الونيدوز اكس بي xp فقط

و لدي سؤال هل الكيفية التخلص منه صحيحة علما بأن اذا اخترق

الفيروس الجهاز لا يمكن الدخول على الجهاز اذا لا بد من الفرمته

13-08-2003, 11:09 AM	رقم المشاركة : 1
الثائر مشرف سابق	مهم جدا : - (( إذا طالبك جهازك اليوم باغلاق نفسه هنا الحل )) مستفيداً من ثغرة في ويندوز فيروس بلاستر ينتشر عبر النت .. انتشر في الحادي عشر من أغسطس الجاري فيروس من نوع الدودة تبلغ خطورته من متوسط إلى عالي الخطورة يسمى W32.Blaster.. وينتشر الفيروس المذكور عبر الإنترنت مستغلا ثغرة موجودة في ويندوز، حتى بدون أن يقوم المستخدم بأي عمل. وعندما يعمل يقوم الفيروس في جهاز ما فإنه يقوم بفحص نطاق معين من أرقام IP، للبحث عن بورت يمكن اقتحامه ، كما يحاول نشر نفسه عبر الإنترنت.. ويقوم الفيروس بتركيب نفسه على المجلد WINDOWS SYSTEM32 ، ثم يقوم بتنفيذ نفسه. وقد يتسبب الفيروس بإيقاف النظام بشكل كامل، كما يهدف كذلك إلى الانتشار بأكبر قدر ممكن عبر شبكة الإنترنت. ويمكن أن تتأثر بالفيروس ( الذي لم يعرف مصدره حتى الآن ) الأنظمة التالية: ويندوز 2000م، ويندوز XP. أما الأنظمة التي لا تتأثر به فهي: لينكس، ماكينتوش، ويندوز95، ويندوز 98، ويندوز ميلينيوم. وبينما اعتبرته شركة مكافي متوسط القوة ، فقد اعتبرته شركة نورتون عال الخطورة. كيفية معرفة وجوده الفيروس يمكن معرفة وجوده بشكل سريع عبر الطرق التالية: وجود ملفات TFTP غير عادية. وجود ملف msblast.exe في مجلد WINDOWS SYSTEM32. رسائل خطأ تؤدي إلى اعادة تشغيل النظام. ويحاول الفيروس أن يقوم بمنع خدمة تحديث الويندوز، وذلك لمنع تنزيل برنامج مضاد.. ويبلغ طوله 6176بايت.. علاج الفيروس تعتبر إزالبة الفيروس سهلة ، حيث يمكن ايقاف بالدخول على موقع الشركات المضادة للفيروسات ( مثل نورتون ) وتنزيل أداة خاصة تسمى FIXBLAST وتشغيلها. أو بتحديث برنامج نورتون انتي فيروس من البرنامج نفسه ثم تشغيله على الجهاز المصاب بعد التأكد من أنه يقوم بفحص جميع الملفات.. وعند الوقوف عند ملف W32.Blaster.Worm اختر حذفه. وللفيروس أسماء أخرى حسب الشركات التي اكتشفته ومن هذه الأسماء : msblast.exe. tftp. W32.Blaster.Worm (Symantec). Win32.Poza (CA). WORM_MSBLAST.A (Trend) .W32/.worm.Lovsan. أما الخطوات اليدوية لإيقاف الفيروس فهي: 1- اضغط على Ctrl+Alt+Delete مرة واحدة.. 2- اختر Task Manager. 3- اختر الخيار Processes. 4- ابحث عن الاسم msblast.exe من القائمة. 5- إذا وجدته اختره ثم اضغط انهاء العملية End Process 6- اخرج من Task Manager . ولا يزال من المبكر معرفة مدى انتشاره في أنحاء العالم بعد، رغم أن شركة نورتون قالت بعد يوم واحد من بدء انتشاره، بأن سرعة انتشاره عالية.. نقلا عن جريدة الرياض السعودية ======================================= إذا طالبك جهازك اليوم باغلاق نفسه هنا الحل أخواني من لديه مثل هذه الصورة: فالحديث عن فيروس جديد اسمه DCOM RPC وهو يستغل ثغرة في نظام الأمان لويندوز ويستغل البروتوكول المدعو RPC. المعلومات المتوفرة حاليا عن الفيروس هي كالتالي: الفيروس بدأ انتشاره منذ ساعات الظهيرة الأولى من يوم الأثنين والذي أخذ ، مؤقتا الأسم : "RPC DCOM", الـ RPC هو أحدى الخدمات المسؤولة عن بعض العمليات والتمهيدات في الأجهزة ويعمل على المنفذ رقم 135. الهجمة هذه التي بدأت مساء اليوم تصيب أحد الثغرات الحساسة لأنظمة ميكروسوفت. ونظام الأكس بي يصل المستخدم والتعريف الأفتراضي للخدمة هذه - RPC - هو : إعادة تشغيل النظام في حالة حدوث فشل في هذا النوع من الخدمة. ولهذا الحل الأضافي هو اضافة فايير وول FIREWALL الذي يمكنه حجب هذا المنفذ - 135. أما عن الأضرار فمؤقتا لا ضرر للفيروس سوى الأزعاج، وإعادة تشغيل الجهاز. إذا جد جديد فسأقوم بإعلامكم. ما العمل؟ إذا لم تصب بالفيروس: 1- قم بتحديث النظام لديك أو حمل تحديث ميكروسوفت لنظامك من هنا: http://microsoft.com/technet/treeview/defa...in/MS03-026.asp التحديث الخاص بهذه المشكلة http://download.microsoft.com/download/9/8...980-x86-ENU.exe لباقي الأنظمة http://www.microsoft.com/technet/treeview/...in/MS03-026.asp 2- اذا كنت تعمل مع نورتون تجد المشكلة والتحديث لأزالة الفيروس هنا: http://securityresponse.symantec.com/avcen...aster.worm.html إذا أصاب الفيروس جهازك: أبحث في جهازك عن ملف يدعى بــ msblast.exe ، وقم بحذفه. إذا لم يتم الحذف أغلق الملف من الــ (Task manager) . أو بمساعدة برامج مثل EndItAll. يمكنكم تحميله من هنا : http://safsquad.com/Files/EndItAll2.zip أغلق الملف وابحث عنه من جديد كي تحذفه. وهذا التحديث الآخير للنورتون والذي يحوي تحديث ازالة هذا الفيروس: http://securityresponse.symantec.com/avcen...811-019-i32.exe ------------------------------------------------ ======================================= حل آخر فتاك للفيروس الجديد الذي يعيد التشغيل هذا حل جديد لمن لم يتمكن من إزالة الفايروس اللعين: أدخل لوحة التحكم --------> أدوات إدارية ------> خدمات تحت الأسم أبحث عن (Remote procedure call RPC) أنقر عليه بزر الفأر الأيمن -------> خصائص --------> الأسترداد ---------------------------------------------- أدوات إدارية = Adminisrative Tools خدمات = services ---------------------------------------------- في "الفشل الأول" و"الفشل الثاني" و"الفشل اللاحق" بدل (إعادة تشغيل الكمبيوتر) بــ " إعادة تشغيل الخدمة". موافق . أعد تشغيل الجهاز وسينتهي هذا الكابوس المزعج إن شاء الله. ============================================ لمتابعة مستجدات الفايروس وتحميل ملفات التحديث وحذف الفايروس http://www.abunawaf.ws/forum/index.php?act...=ST&f=7&t=16031 ©™«الثــــــ king net ــــــائر»™® توقيع الثائر : thernet@msn.com

13-08-2003, 02:29 PM	رقم المشاركة : 2
أبوغريب طرفاوي بدأ نشاطه	وبإمكانك أيضاً تركيب برنامج zone alarm لتفادي المشكلة حتى لو كان البرنامج تجريبي حيث شيشتغل معك الانترنت عادي ولا تنسى تركيب مكافي 7 لتفحص الفيروسات تحياتي أبوغريب

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)