السلام عليكم ورحمة الله وبركاته
تم اكتشاف دودة جديدة آتية من ألمانيا ، ويطلق عليها اسم Yarner w32.yarner.a@mm وتأتي الدودة على شكل نشرة إخبارية تتعلق بأحصنة طروادة صادرة من أحد المواقع التي تهتم بالأمن والحماية ، ولكنها في الحقيقة دودة خطيرة ، الدودة عبارة عن ملف بامتداد EXE ويصل حجمها حوالي 434 كيلو بايت ، وهي مكتوبة بلغة Delphi .
تستخدم الدودة محرك البريد الإلكتروني الخاص بها لكي ترسل نسخة من نفسها إلى الآخرين ، وعند فتحها ، فإنها تقوم بمسح مجلد Windows للجهاز المصاب. في الوقت الحاضر ، عدد الأجهزة المصابة محدود في ألمانيا ، لكن من المحتمل ظهور نوع جديد منها سواء باللغة الإنجليزية أو أي لغة أخرى .
تأتي الدودة عن طريق البريد الإلكتروني وتبدو وكأنها مرسلة من موقع webmaster@trojaner-info.de Trojaner-Info. هذا العنوان حقيقي لكنه ليس المصدر الأصلي لتلك الرسالة . سوف يكون موضوع الرسالة بهذا الشكل "Trojaner-Info Newsletter" ونص الرسالة مكتوب باللغة الألمانية وتبدو وكأنها نشرة إخبارية وهذه ترجمتها بالعربية :
" مرحبا !
أهلا بكم في النشرة الإخبارية من موقع Trojaner-Info.de
المحتويات :
1. YAW 2.0 - الإصدار الأخير من برنامجنا porn-dialer warner
****
1. YAW 2.0 - برنامجنا الجديد كلياً porn-dialer warner بإصداره الأخير.
برنامجنا Dialerwarner المستخدم في نطاق واسع ، متوفر الآن بشكل جديد ومحسّن . جميع المشتركين في نشرتنا الإخبارية يمكنهم الحصول على البرنامج مجاناً ضمن هذه النشرة .
قم بفتح الملف المرفق وسوف يقوم برنامجنا YAW 2.0 بتنصيب نفسه.
إذا كان لديك أي استفسارات يمكنك الاتصال بمبرمج هذه الأداة الفريدة على العنوان [...]
نتمنى لك وقت سعيد مع برنامج YAW !
trojaner-info.de/dialer/yaw.shtml
****
هذا كل ما لدينا في نشرة الأخبار من موقع Trojaner-Info ، شكراً لإصغائكم ونتمنى لكم قضاء أسبوع لطيف . "
الملف المرفق مع الرسالة سوف يكون باسم yawsetup.exe
عند فتح الملف المرفق ، سوف تقوم دودة Yarner بنسخ نفسها داخل مجلد Windows وذلك باسم notedpad.exe ، وتقوم بإعادة الكتابة على برنامج المفكرة الأصلي (notepad.exe) . وعند تشغيلك لبرنامج المفكرة ، تقوم دودة Yarner بالإختباء داخل ملف notedpad.exe لتخفي وجودها ، كذلك تقوم بإنشاء ملفين إضافيين وهما : kerneI32.daa (والذي تستخدمه الدودة لكتابة رسائل البريد) والملف kerneI32.das (والذي تستخدمه الدودة لكتابة ملقمات البريد) .
ثم تقوم بإضافة قيم عشوائية لمفتاح التسجيل التالي :
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Runonce
يمكن أن يكون هناك أكثر من 100 حرف عشوائي في تلك القيم .
تقوم الدودة بالولوج الى دفتر العناوين الخاص ببرنامج Microsoft Outlook لكي ترسل رسائل البريد الإلكتروني ، ثم تقوم بالتدقيق على جميع الملفات ذات الامتداد .php ، .htm ، .shtm ، .cgi ، .pl في كل المجلدات الفرعية ، لكي تبحث عن عناوين بريدية إضافية ، ثم تستخدم ملقم SMTP الخاص بها لكي ترسل الرسائل الملغمة وتتصل بالملقمات الخاصة بها وتتضمن التالي :
216.113.14.106
joy-go.gr.jp
ctripserver.ctrip.com.cn
202.101.62.207
cocess.cocess.co.kr
mail.bizpoint.com.sg
ns2.webshock.co.kr
olympus.mda.com.tr
linux2.ele-china.com
mailsvr.hanace.co.kr
وبعد أن تنتهي من إرسال نسخ عديدة من نفسها ، تقوم أخيراً بحذف جميع الملفات الموجودة بداخل مجلد Windows .
التصدي لهذه الدودة :
بالنسبة لمستخدمي Microsoft Outlook 2002 ومستخدمي Microsoft Outlook 2000 والذين قاموا بتحميل التحديث للرقعة الأمنية الأخيرة ينبغي أن يكونوا في مأمن من فتح الدودة المرفقة . وبالنسبة للمستخدمين الذين لم يقوموا حتى الآن بالترقية إلى Outlook 2002 أو الذين لم يقوموا بتحميل الرقعة الأمنية لبرنامج Outlook 2000 يجب عليهم الإسراع بالتحديث ، بشكل عام ، لا تفتح الملفات المرفقة مع الرسائل قبل أن تفحصها بأحد برامج مكافحة الفيروسات ويكون محدّث .
كيفة إزالة الدودة :
تقريباً كل شركات برامج مكافحة الفيروسات قامت بتحديث قاعدة بياناتها بما فيها هذه الدودة .
sarc.com/avcenter/venc/d...arner.a@mm.html
منقول
تم اكتشاف دودة جديدة آتية من ألمانيا ، ويطلق عليها اسم Yarner w32.yarner.a@mm وتأتي الدودة على شكل نشرة إخبارية تتعلق بأحصنة طروادة صادرة من أحد المواقع التي تهتم بالأمن والحماية ، ولكنها في الحقيقة دودة خطيرة ، الدودة عبارة عن ملف بامتداد EXE ويصل حجمها حوالي 434 كيلو بايت ، وهي مكتوبة بلغة Delphi .
تستخدم الدودة محرك البريد الإلكتروني الخاص بها لكي ترسل نسخة من نفسها إلى الآخرين ، وعند فتحها ، فإنها تقوم بمسح مجلد Windows للجهاز المصاب. في الوقت الحاضر ، عدد الأجهزة المصابة محدود في ألمانيا ، لكن من المحتمل ظهور نوع جديد منها سواء باللغة الإنجليزية أو أي لغة أخرى .
تأتي الدودة عن طريق البريد الإلكتروني وتبدو وكأنها مرسلة من موقع webmaster@trojaner-info.de Trojaner-Info. هذا العنوان حقيقي لكنه ليس المصدر الأصلي لتلك الرسالة . سوف يكون موضوع الرسالة بهذا الشكل "Trojaner-Info Newsletter" ونص الرسالة مكتوب باللغة الألمانية وتبدو وكأنها نشرة إخبارية وهذه ترجمتها بالعربية :
" مرحبا !
أهلا بكم في النشرة الإخبارية من موقع Trojaner-Info.de
المحتويات :
1. YAW 2.0 - الإصدار الأخير من برنامجنا porn-dialer warner
****
1. YAW 2.0 - برنامجنا الجديد كلياً porn-dialer warner بإصداره الأخير.
برنامجنا Dialerwarner المستخدم في نطاق واسع ، متوفر الآن بشكل جديد ومحسّن . جميع المشتركين في نشرتنا الإخبارية يمكنهم الحصول على البرنامج مجاناً ضمن هذه النشرة .
قم بفتح الملف المرفق وسوف يقوم برنامجنا YAW 2.0 بتنصيب نفسه.
إذا كان لديك أي استفسارات يمكنك الاتصال بمبرمج هذه الأداة الفريدة على العنوان [...]
نتمنى لك وقت سعيد مع برنامج YAW !
trojaner-info.de/dialer/yaw.shtml
****
هذا كل ما لدينا في نشرة الأخبار من موقع Trojaner-Info ، شكراً لإصغائكم ونتمنى لكم قضاء أسبوع لطيف . "
الملف المرفق مع الرسالة سوف يكون باسم yawsetup.exe
عند فتح الملف المرفق ، سوف تقوم دودة Yarner بنسخ نفسها داخل مجلد Windows وذلك باسم notedpad.exe ، وتقوم بإعادة الكتابة على برنامج المفكرة الأصلي (notepad.exe) . وعند تشغيلك لبرنامج المفكرة ، تقوم دودة Yarner بالإختباء داخل ملف notedpad.exe لتخفي وجودها ، كذلك تقوم بإنشاء ملفين إضافيين وهما : kerneI32.daa (والذي تستخدمه الدودة لكتابة رسائل البريد) والملف kerneI32.das (والذي تستخدمه الدودة لكتابة ملقمات البريد) .
ثم تقوم بإضافة قيم عشوائية لمفتاح التسجيل التالي :
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Runonce
يمكن أن يكون هناك أكثر من 100 حرف عشوائي في تلك القيم .
تقوم الدودة بالولوج الى دفتر العناوين الخاص ببرنامج Microsoft Outlook لكي ترسل رسائل البريد الإلكتروني ، ثم تقوم بالتدقيق على جميع الملفات ذات الامتداد .php ، .htm ، .shtm ، .cgi ، .pl في كل المجلدات الفرعية ، لكي تبحث عن عناوين بريدية إضافية ، ثم تستخدم ملقم SMTP الخاص بها لكي ترسل الرسائل الملغمة وتتصل بالملقمات الخاصة بها وتتضمن التالي :
216.113.14.106
joy-go.gr.jp
ctripserver.ctrip.com.cn
202.101.62.207
cocess.cocess.co.kr
mail.bizpoint.com.sg
ns2.webshock.co.kr
olympus.mda.com.tr
linux2.ele-china.com
mailsvr.hanace.co.kr
وبعد أن تنتهي من إرسال نسخ عديدة من نفسها ، تقوم أخيراً بحذف جميع الملفات الموجودة بداخل مجلد Windows .
التصدي لهذه الدودة :
بالنسبة لمستخدمي Microsoft Outlook 2002 ومستخدمي Microsoft Outlook 2000 والذين قاموا بتحميل التحديث للرقعة الأمنية الأخيرة ينبغي أن يكونوا في مأمن من فتح الدودة المرفقة . وبالنسبة للمستخدمين الذين لم يقوموا حتى الآن بالترقية إلى Outlook 2002 أو الذين لم يقوموا بتحميل الرقعة الأمنية لبرنامج Outlook 2000 يجب عليهم الإسراع بالتحديث ، بشكل عام ، لا تفتح الملفات المرفقة مع الرسائل قبل أن تفحصها بأحد برامج مكافحة الفيروسات ويكون محدّث .
كيفة إزالة الدودة :
تقريباً كل شركات برامج مكافحة الفيروسات قامت بتحديث قاعدة بياناتها بما فيها هذه الدودة .
sarc.com/avcenter/venc/d...arner.a@mm.html
منقول
: 
: 
: