بوابة‏ ‏الحب‏ ..‏اسم‏ ‏جذاب‏ ‏لفيروس‏ ‏مدمر

بوابة‏ ‏الحب‏ ..‏اسم‏ ‏جذاب‏ ‏لفيروس‏ ‏مدمر

--------------------------------------------------------------------------------

هذا‏ ‏الفيروس‏ ‏من‏ ‏نوع‏ ‏الدودة‏ ‏التي‏ ‏لها‏ ‏القدرة‏ ‏علي‏ ‏تكرار‏ ‏نفسها‏ ‏لكي‏ ‏ترسل‏ ‏نسخة‏ ‏منها‏ ‏عبر‏ ‏شبكات‏ ‏الحاسبات‏ ‏أو‏ ‏من‏ ‏خلال‏ ‏البريد‏ ‏الإلكتروني‏, ‏أي‏ ‏أن‏ ‏هذا‏ ‏الفيروس‏ ‏له‏ ‏أكثر‏ ‏من‏ ‏صورة‏ ‏فهو‏ ‏يمكن‏ ‏أن‏ ‏يصل‏ ‏إليك‏ ‏من‏ ‏خلال‏ ‏رسالة‏ ‏إلكترونية‏ ‏أو‏ ‏من‏ ‏خلال‏ ‏الشبكة‏, ‏يستغل‏ ‏الفيروس‏ ‏الثغرة‏ ‏الأمنية‏ ‏التي‏ ‏توجد‏ ‏في‏ ‏نظام‏ ‏النوافذ‏ ‏والتي‏ ‏يطلق‏ ‏عليها‏ Microsoft ******* DCOM RPC Interface Buffer Overrun Vulnerability ‏وهو‏ ‏ينتشر‏ ‏عبر‏ ‏الشبكات‏ ‏من‏ ‏خلال‏ ‏المجلدات‏ ‏التي‏ ‏لها‏ ‏خاصية‏ ‏المشاركة‏ Sharing ‏والتي‏ ‏توجد‏ ‏علي‏ ‏حاسبات‏ ‏الشبكة‏.‏


ماذا‏ ‏سيحدث‏ ‏الفيروس‏ ‏بالحاسب‏ ‏المصاب؟‏ ‏‏
* ‏يقوم‏ ‏الفيروس‏ ‏بوضع‏ ‏نسخة‏ ‏منه‏ ‏في‏ ‏مجلد‏ ‏النوافذ‏ ‏وهو
‏ C:/*******/System ‏(******* 95/98/Me)‏
‏أو‏ C:/*******/System32 ‏(******* XP)‏
‏كما‏ ‏يقوم‏ ‏الفيروس‏ ‏بوضع‏ ‏ملف‏ ‏باسم‏ CDROM.COM ‏علي‏ ‏كل‏ ‏وحدات‏ ‏تخزين‏ ‏الحاسب‏.‏

‏* ‏يقوم‏ ‏بإيقاف‏ ‏عمل‏ processes ‏معظم‏ ‏برامج‏ ‏مقاومة‏ ‏الفيروسات‏ ‏الشهيرة‏ ‏مثل‏ ‏نورتون‏ ‏وكافي‏, ‏وبذلك‏ ‏يصبح‏ ‏الحاسب‏ ‏بدون‏ ‏حماية‏.‏

‏* ‏يتم‏ ‏تعديل‏ ‏ملفات‏ ‏نظام‏ ‏التشغيل‏ Registry Files ‏لكي‏ ‏يتم‏ ‏تشغيل‏ ‏الفيروس‏ ‏في‏ ‏كل‏ ‏مرة‏ ‏نقوم‏ ‏فيها‏ ‏بتشغيل‏ ‏الحاسب‏.‏

‏* ‏يقوم‏ ‏الفيروس‏ ‏بمهاجمة‏ ‏وحدات‏ ‏تخزين‏ ‏الحاسب‏ ‏ويحول‏ ‏ملفات‏ ‏البرامج‏ ‏من‏ ‏نوع‏ exe ‏إلي‏ zmx , ‏وهو‏ ‏بذلك‏ ‏يمنعها‏ ‏من‏ ‏العمل‏, ‏كما‏ ‏يقوم‏ ‏بتغيير‏ ‏خصائص‏ ‏هذه‏ ‏الملفات‏ ‏لكي‏ ‏تصبح‏ ‏مخفية‏ Hidden ‏وبذلك‏ ‏تختفي‏ ‏عن‏ ‏عين‏ ‏المستخدم‏.‏

‏*‏من‏ ‏التصرفات‏ ‏الغريبة‏ ‏لهذا‏ ‏الفيروس‏ ‏أنه‏ ‏إذا‏ ‏تم‏ ‏إيقاف‏ ‏عمله‏ ‏لأي‏ ‏سبب‏ ‏من‏ ‏الأسباب‏ ‏فإنه‏ ‏يقوم‏ ‏بتشغيل‏ ‏برنامج‏ ‏الإنترنت‏ ‏إكسبلورر‏ ‏بدون‏ ‏تدخل‏ ‏من‏ ‏المستخدم‏.‏

‏*‏يقوم‏ ‏الفيروس‏ ‏بالتجسس‏ ‏علي‏ ‏البيانات‏ ‏المخزنة‏ ‏داخل‏ ‏الحاسب‏ ‏المصاب‏ ‏ويخزنها‏ ‏في‏ ‏ملف‏ ‏باسم‏ C:/Netlog.txt ‏ثم‏ ‏يقوم‏ ‏بعد‏ ‏ذلك‏ ‏بإرسال‏ ‏هذا‏ ‏الملف‏ ‏بما‏ ‏يحويه‏ ‏من‏ ‏بيانات‏ ‏مهمة‏ ‏إلي‏ ‏الشخص‏ ‏الذي‏ ‏قام‏ ‏بتطوير‏ ‏الفيروس‏ ‏من‏ ‏خلال‏ ‏رسالة‏ ‏إلكترونية‏ ‏ودون‏ ‏أن‏ ‏يدري‏ ‏المستخدم‏ ‏بكل‏ ‏هذه‏ ‏الأنشطة‏.‏

‏* ‏يقوم‏ ‏بتحديد‏ ‏المجلد‏ ‏الذي‏ ‏يستعمله‏ ‏مستخدمي‏ ‏برنامج‏ ‏كازا‏ KaZaA ‏لتبادل‏ ‏الملفات‏ ‏وينسخ‏ ‏نفسه‏ ‏به‏ ‏لكي‏ ‏يتمكن‏ ‏من‏ ‏إصابة‏ ‏كل‏ ‏الحاسبات‏ ‏التي‏ ‏تقوم‏ ‏بسحب‏ ‏ملفات‏ ‏من‏ ‏هذا‏ ‏المجلد‏.‏

‏* ‏يفتح‏ ‏مخرج‏ 6000 (TCP Port 6000) ‏لكي‏ ‏يتم‏ ‏استخدامه‏ ‏في‏ ‏التحكم‏ ‏في‏ ‏الحاسب‏ ‏المصاب‏ ‏عن‏ ‏بعد‏.‏

‏* ‏إذا‏ ‏كان‏ ‏الحاسب‏ ‏متصلا‏ ‏بشبكة‏ ‏فإنه‏ ‏يقوم‏ ‏باختبار‏ ‏كل‏ ‏الحاسبات‏ ‏المتصلة‏ ‏بهذه‏ ‏الشبكة‏ ‏لكي‏ ‏ينتقل‏ ‏إليها‏ ‏وذلك‏ ‏إذا‏ ‏وجد‏ ‏أي‏ ‏مجلد‏ ‏به‏ ‏خاصية‏ ‏المشاركة‏ Sharing ‏وغير‏ ‏محمي‏ ‏بكلمة‏ ‏سر‏.‏

هذه‏ ‏أهم‏ ‏العمليات‏ ‏التدميرية‏ ‏التي‏ ‏يقوم‏ ‏بها‏ ‏هذا‏ ‏الفيروس‏, ‏ولم‏ ‏نتمكن‏ ‏من‏ ‏عرضها‏ ‏كلها‏ ‏لضيق‏ ‏المساحة‏.‏

نقدم‏ ‏بعض‏ ‏المقترحات‏ ‏للحد‏ ‏من‏ ‏احتمالات‏ ‏وصول‏ ‏هذا‏ ‏الفيروس‏ ‏إليك‏ :‏‏
‏*‏من‏ ‏الأفضل‏ ‏أن‏ ‏لا‏ ‏نستخدم‏ ‏برنامج‏ ‏كازا‏ ‏لتبادل‏ ‏الملفات‏ ‏فقد‏ ‏أصبح‏ ‏مستهدفا‏ ‏من‏ ‏معظم‏ ‏الفيروسات‏ ‏الجديدة‏ ‏نظرا‏ ‏لشهرته‏.‏

‏* ‏يجب‏ ‏استخدام‏ ‏كلمة‏ ‏سر‏ ‏لحماية‏ ‏المجلدات‏ ‏التي‏ ‏لها‏ ‏خاصية‏ ‏المشاركة‏, ‏وذلك‏ ‏للحاسبات‏ ‏المشتركة‏ ‏في‏ ‏شبكات‏.‏

‏* ‏ضرورة‏ ‏تحديث‏ ‏نظام‏ ‏التشغيل‏ ‏ببرامج‏ Patches ‏سد‏ ‏الثغرات‏ ‏الأمنية‏.‏

‏* ‏مراقبة‏ ‏أي‏ ‏سلوك‏ ‏غريب‏ ‏يحدث‏ ‏بحاسبك‏ ‏مثل‏ ‏تشغيل‏ ‏برنامج‏ ‏بطريقة‏ ‏مفاجئة‏ ‏أو‏ ‏تغيير‏ ‏اسم‏ ‏ملف‏ ‏أو‏ ‏اختفائه‏, ‏فذلك‏ ‏قد‏ ‏يكون‏ ‏من‏ ‏أعراض‏ ‏الإصابة‏ ‏بالفيروس‏.‏

‏* ‏استخدم‏ ‏خدمة‏ ‏اختبار‏ ‏الفيروسات‏ ‏بموقع‏ ‏مجلة‏ ‏لغة‏ ‏العصر‏ ‏علي‏ ‏شبكة‏ ‏الإنترنت‏ ‏في‏ ‏باب‏ ‏عالم‏ ‏الفيروسات‏ ‏للتأكد‏ ‏من‏ ‏أن‏ ‏حاسبك‏ ‏لم‏ ‏يصاب‏ ‏بهذا‏ ‏الفيروس‏ ‏ولإزالته‏ ‏إذا‏ ‏وجد‏ ‏علي‏ ‏الحاسب‏

اسم الفيروس:‏W32.Lovgate‏نوع الفيروس:دودة‏ ‏من‏ ‏نوع‏ worm‏درجة الخطورة:عاليةدرجة الانتشار:متوسط:تاريخ اكتشاف الفيروس‏13/7/2004‏الاثر التدميرى:يقوم‏ ‏بإصابة‏ ‏البرامج‏ ‏والتطبيقات والتحكم‏ ‏في‏ ‏الحاسب‏ ‏عن‏ ‏بعدطريقة الانتشار:عن‏ ‏طريق‏ ‏شبكات‏ ‏الحاسبات‏ ‏المحلية‏ LAN‏ والبريد‏ ‏الإلكترونيكيفية نشاط الفيروس:ينشط‏ ‏الفيروس‏ ‏فور‏ ‏دخوله‏ ‏علي‏ ‏الحاسب عن‏ ‏طريق‏ ‏الشبكة‏ ‏أو‏ ‏البريد‏ ‏الإلكترونينظم التشغيل:كل‏ ‏نظم‏ ‏النوافذمصدر الفيروس:‏131 KB‏الفيروس مشفر:لا