بريدة ستي - دودتان خطيرتان تصيبان الجهاز +طريقة حذفهم

دودتان جديدتان يغزوان الأجهزه بصمت ويحيرون النورتن انتي فايورس وغيره من برامج الحمايه نرجوا من الله أن يبعد عنكم شرهما في هذا الموضوع

سنشرح كل واحد على حده وكيفية ازالته

1- W32.Sasser.B.Worm
وصف الدودة وطريقة الانتقال:
تقوم هذه الدودة باستغلال ثغرة في ملف LSASS.exe أحد ملفات نظام وندوز , بحيث يدخل أمر إلى هذا الملف التنفيذي فيعتم على الانتي فايروس على انه امر شرعي من قبل ملف مصرح به
تنتقل هذه الدودة عن طريق ارقام الايبي بشكل عشوائي .

مضار هذه الدودة :
تقوم هذه الدودة بنفس عمل دودة بلاستر المزعجه , وهو اعادة تشغيل الجهاز وتعتبر دودة مطورة للاصدار السابق.

طريقة ازالتها :
1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل

http://upload.drawers.ws/store2/image001.jpg

بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق

http://upload.drawers.ws/store2/image002.jpg

2- اضغط على البداية او Start من ثم تشغيل أو Run اكتب في الخانة regedit ومن ثم اذهب إلى هذا المسار

HKEY_LOCAL_MACHINE\Softwa
re\Microsoft\Windows\Curr
entVersion\Run

ستجد على الجهة اليسرى بالنسبة للويندوز العربي أو اليمنى للانجليزي هذا المدخل كما هو موضح في الصورة ادناه قم بالضغط على الزر الايمن وحذفه

http://upload.drawers.ws/store2/image003.jpg

3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه.

4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص

5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى.

لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط
http://securityresponse.symantec.co...ser.b.worm.html

2- W32.Nimos.Worm

وصف الدودة وطريقة الانتقال ومضارها :
هذه الدودة أخطر من سابقتها وأكثر تعقيداً في طريقة برمجتها هذه الدودة تقوم بتخزين كل مايكتب من رسائل وكلمات مرور وتقوم بارسالها لمبرمجي هذه الدودة وتنتقل عن طريق الرسائل البريدية والشبكات وهي كسابقتها في التسلل بصمت عن طريق دمج اوامرها مع نفس الملف Lsass.exe بنفس الطريقة السابقة الذكر.

طريقة ازالتها :
1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل

http://upload.drawers.ws/store2/image001.jpg

بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق

http://upload.drawers.ws/store2/image002.jpg

3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه.

4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص

5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى.

لمن أراد ازالة الدودة من الرجستري يدويا وهذه الخطوة تتطلب خبرة في استخدام الرجستري ولن يحتاجها من يقوم بالخطوات السابقة هي كالتالي :

a. Click Start, and then click Run. (The Run dialog box appears.)

b. Type regedit

Then click OK. (The Registry Editor opens.)

c. Navigate to the key:

HKEY_LOCAL_MACHINE\Softwa
re\Microsoft\Windows\Curr
entVersionSystem Handler

d. In the left pane, delete the subkey:

System Handler

e. Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWA
RE\Microsoft\Windows\Curr
entVersion\Run

f. In the right pane, delete the value:

"System Handler"="%Windir%\System\LSASS.EXE"

g. Do one of the following:

· If you are running Windows NT/2000/XP, proceed to step j.

· If you are using Windows 95/98/me, proceed to step h.

h. Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWA
RE\Microsoft\Windows\Curr
entVersion\RunService

i. In the right pane, delete the value:

"System Handler"="%Windir%\System\LSASS.EXE"

j. Navigate to the registry key:

HKEY_CLASSES_ROOT\exefile
\-----\open\command

k. In the right pane, change the default value to: "%1" %*

l. Exit the Registry Editor.

لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط
http://securityresponse.symantec.co...nimos.worm.html

م
ن
ق
و
ل

للفائدة.