دودة خطيرة ربما تحذف ملفات النظام

    تمر دردشة الساحة الخاصة بالمتصفح والموبايل بفترة صيانة دورية هذا ونعتذر للجميع على الإنقطاع المؤقت بإمكانكم المشاركة في المنتدى لحين عودتها :)

    • دودة خطيرة ربما تحذف ملفات النظام

      السلام عليكم ورحمة الله وبركاته

      تم اكتشاف دودة جديدة آتية من ألمانيا ، ويطلق عليها اسم Yarner w32.yarner.a@mm وتأتي الدودة على شكل نشرة إخبارية تتعلق بأحصنة طروادة صادرة من أحد المواقع التي تهتم بالأمن والحماية ، ولكنها في الحقيقة دودة خطيرة ، الدودة عبارة عن ملف بامتداد EXE ويصل حجمها حوالي 434 كيلو بايت ، وهي مكتوبة بلغة Delphi .

      تستخدم الدودة محرك البريد الإلكتروني الخاص بها لكي ترسل نسخة من نفسها إلى الآخرين ، وعند فتحها ، فإنها تقوم بمسح مجلد Windows للجهاز المصاب. في الوقت الحاضر ، عدد الأجهزة المصابة محدود في ألمانيا ، لكن من المحتمل ظهور نوع جديد منها سواء باللغة الإنجليزية أو أي لغة أخرى .

      تأتي الدودة عن طريق البريد الإلكتروني وتبدو وكأنها مرسلة من موقع webmaster@trojaner-info.de Trojaner-Info. هذا العنوان حقيقي لكنه ليس المصدر الأصلي لتلك الرسالة . سوف يكون موضوع الرسالة بهذا الشكل "Trojaner-Info Newsletter" ونص الرسالة مكتوب باللغة الألمانية وتبدو وكأنها نشرة إخبارية وهذه ترجمتها بالعربية :

      " مرحبا !
      أهلا بكم في النشرة الإخبارية من موقع Trojaner-Info.de
      المحتويات :
      1. YAW 2.0 - الإصدار الأخير من برنامجنا porn-dialer warner
      ****
      1. YAW 2.0 - برنامجنا الجديد كلياً porn-dialer warner بإصداره الأخير.
      برنامجنا Dialerwarner المستخدم في نطاق واسع ، متوفر الآن بشكل جديد ومحسّن . جميع المشتركين في نشرتنا الإخبارية يمكنهم الحصول على البرنامج مجاناً ضمن هذه النشرة .
      قم بفتح الملف المرفق وسوف يقوم برنامجنا YAW 2.0 بتنصيب نفسه.
      إذا كان لديك أي استفسارات يمكنك الاتصال بمبرمج هذه الأداة الفريدة على العنوان [...]
      نتمنى لك وقت سعيد مع برنامج YAW !
      trojaner-info.de/dialer/yaw.shtml
      ****
      هذا كل ما لدينا في نشرة الأخبار من موقع Trojaner-Info ، شكراً لإصغائكم ونتمنى لكم قضاء أسبوع لطيف . "

      الملف المرفق مع الرسالة سوف يكون باسم yawsetup.exe

      عند فتح الملف المرفق ، سوف تقوم دودة Yarner بنسخ نفسها داخل مجلد Windows وذلك باسم notedpad.exe ، وتقوم بإعادة الكتابة على برنامج المفكرة الأصلي (notepad.exe) . وعند تشغيلك لبرنامج المفكرة ، تقوم دودة Yarner بالإختباء داخل ملف notedpad.exe لتخفي وجودها ، كذلك تقوم بإنشاء ملفين إضافيين وهما : kerneI32.daa (والذي تستخدمه الدودة لكتابة رسائل البريد) والملف kerneI32.das (والذي تستخدمه الدودة لكتابة ملقمات البريد) .

      ثم تقوم بإضافة قيم عشوائية لمفتاح التسجيل التالي :

      HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
      ntVersion\Runonce

      يمكن أن يكون هناك أكثر من 100 حرف عشوائي في تلك القيم .

      تقوم الدودة بالولوج الى دفتر العناوين الخاص ببرنامج Microsoft Outlook لكي ترسل رسائل البريد الإلكتروني ، ثم تقوم بالتدقيق على جميع الملفات ذات الامتداد .php ، .htm ، .shtm ، .cgi ، .pl في كل المجلدات الفرعية ، لكي تبحث عن عناوين بريدية إضافية ، ثم تستخدم ملقم SMTP الخاص بها لكي ترسل الرسائل الملغمة وتتصل بالملقمات الخاصة بها وتتضمن التالي :

      216.113.14.106
      joy-go.gr.jp
      ctripserver.ctrip.com.cn
      202.101.62.207
      cocess.cocess.co.kr
      mail.bizpoint.com.sg
      ns2.webshock.co.kr
      olympus.mda.com.tr
      linux2.ele-china.com
      mailsvr.hanace.co.kr

      وبعد أن تنتهي من إرسال نسخ عديدة من نفسها ، تقوم أخيراً بحذف جميع الملفات الموجودة بداخل مجلد Windows .

      التصدي لهذه الدودة :
      بالنسبة لمستخدمي Microsoft Outlook 2002 ومستخدمي Microsoft Outlook 2000 والذين قاموا بتحميل التحديث للرقعة الأمنية الأخيرة ينبغي أن يكونوا في مأمن من فتح الدودة المرفقة . وبالنسبة للمستخدمين الذين لم يقوموا حتى الآن بالترقية إلى Outlook 2002 أو الذين لم يقوموا بتحميل الرقعة الأمنية لبرنامج Outlook 2000 يجب عليهم الإسراع بالتحديث ، بشكل عام ، لا تفتح الملفات المرفقة مع الرسائل قبل أن تفحصها بأحد برامج مكافحة الفيروسات ويكون محدّث .

      كيفة إزالة الدودة :
      تقريباً كل شركات برامج مكافحة الفيروسات قامت بتحديث قاعدة بياناتها بما فيها هذه الدودة .
      sarc.com/avcenter/venc/d...arner.a@mm.html

      منقول