الرئيسية
سجل الزوار
القائمة البريدية
راسلنا
خريطة الموقع
جديد الصور
جديد البطاقات
جديد الصوتيات
المتواجدون الآن
تغذيات RSS
2012-08-15 02:48
احد زملائي اخبرني بانه يرى ملف اسمه folder.htt في كل مجلد يفتحه على الوندوز و لا يستطيع ان يفتحه ليرى ما في داخلة حيث تظهر له الرسالة المعروفة access denied اي ان الوصول الى هذا الملف ممنوع ..... اضافة للملف folder.htt فانه يجد ايضا ملف اسمه desktop.ini .... وهذا الملف يمكنه فتحه لكنه لا يجد فيه اكثر من 5 سطور ولا تشكل اي خطر من وجهه نظرة .... فكان سؤاله لي هل هذا فيروس او لا ....... واذا كان فيروسا فهل يمكن ازالته و ما مدى الضرر الذي يلحقه بالجهاز ......
طبعا في البداية تذكرت اني قد رايت هذا الملف (folder.htt ) في اكثر من جهاز على مقاهي انترنت ولكني لم اكترث حينها له ولم احاول حتى فتحه ..... لهذا وافقت ان اذهب مع صديقي الى غرفته لنكشف على الجهاز ونرى ما المشكلة ....
اول مجموعة ملاحظات كانت التالي ....
- الملفين desktop.ini و folder.htt ملفان مخفيان لكنهما يظهران لان صديقي اختار ان يظهر الملفات المخفية من قائمة tools>>folderOptions ..... ولولا انه اختار اظهار كافة الملفات منذ زمن لما لاحظ وجود الملفين (عندما تختار اظهار كافة الملفات تظهر الملفات المخفية اصلا بلون باهت مقارنه مع بقية الملفات)
- عند انشاء مجلد جديد فارغ في اي مكان على الجهاز ثم فتح المجلد نجد الملفان موجودان في داخله. ولكن عند انشاء مجلد جديد فارغ عن طريق الـ DOS ثم استعراض الملفات التي بداخلة من على الـ DOS ايضا لا نجد الملفين ولكن ما ان نستعرض المجلد نفسه من الوندوز ثم نعود و نستعرضه من الدوس حتى نجد انهما اصبحا موجودين في داخله.
- حجم الملف folder.htt حوالي 15 KB .
- الملف folder.htt لا يمكن فتحه ولا حذفه لا من الدوس و لا من الوندوز.
- الجهاز اصبح بطيئا بشكل ملحوظ عند فتح مجلد حتى ولو كان فارغا.
- عند ادخال قرص مرن في محرك الاقراص فانك بمجرد فتحه تجد الملفين موجودين في كل مجلد من مجلدات القرص المرن.
الآن بدأت فعليا اشك في انه فيروس,لكن جهاز صديقي عليه McAfee Anti Vairus ولم يعلن عن وجود فيروس في الجهاز ثم انني تذكرت شيئ مهم ....
اذكر منذ زمن انه يمكننا تخصيص مجلد ما من داخل الوندوز بحيث يظهر بشكل مختلف عن بقية المجلدات عندما نفتحه .... اقصد يكون له صورة معينة بدل الخلفية البيضاء العادية و يتغير لون و نوع الخط الذي تظهر به اسماء الملفات...... عندما قرأت اسم الملف folder.htt ربطت بينه و بين هذه الميزة و اعتقدت ان الوندوز تنشئ هذا الملف و تحفظه في اي مجلد نقوم بتخصيصه اي انه ليس فيروسا وانما احد ملفات الوندوز المعروفة ....
وجدت ان استنتاجي المبدئي كان صحيحا عندما عدت الى جهازي السليم و بحثت عن ملف اسمه folder.htt ووجدته .... لكن المشكلة اني لم اجد سوى عدد قليل من الملفات وكلها لم يقل حجمها عن 20 KB .....
ففكرت بعمل تجربة .... جهازي يعمل عليه Norton Anti Vairus 2003 ....
فقررت ان اجازف بادخال القرص المرن الذي جلبته من جهاز صديقي .... وبمجرد ان ادخلته ظهرت لي شاشه الـ Norton المشهورة التي تحذرك من وجود فيروس .... وكانت كما توقعت .... !!
الملف folder.htt مصاب بالفيروس html.redlof.a .... ولا يمكن اصلاحه ....
الآن تأكدت من صحه استنتاجي ...... فضغطت مباشرة على الرابط في الرسالة و الذي يأخذني الى موقع symantec و يقدم شرحا وافيا عن الفيروس المذكور .... وهذه هي الصفحة
http://securityresponse.symantec.com....redlof.a.html
يعتبر هذا الفيروس من اخطر الانواع من ناحية الانتشار وهو يسمى polymorphic اي متعدد التشكل او عديد التشكل .... المهم انه من النوع الذي يقوم بانشاء نسخ من نفسه و ينتشر بهذه الطريقه .....
وهذه بعض المعلومات عنه
هذا الفيروس عبارة عن Visual Basic Script
ينسخ نفسه في مجلد النظام system او system32 باسم kernal.dll او kernal32.dll
ويصيب الملفات من نوع html,htm,php,asp,jsp, vbs ....
يقول موقع symantec انه يوجد 50 - 999 اصابة مسجلة لديهم مع اني اعتقد ان الرقم الحقيقي اكبر من هذا بكثير خصوصا واني قد رايت اجهزة اخرى مصابة بالفيروس ولم اعرف حينها انه فيروس ....
اهم شيئ انه يقوم بعمل تعديلات معينه في الرجستري لكي يضمن ان يقوم النظام باعتبار اي مجلد هو مجلد مخصص و ينسخ الفيروس اليه .... على الاقل هذا مااعتقد انه يحصل ....
ثم عندما تستعرض المجلد اذا كنت تستخدم اسلوب عرض المجلدات كصفحات ويب .... فانك لن تستطيع رؤية الملفات ولكنك سترى احرف غريبة تملا نافذه متصفح الوندوز ..... ولحسن الحظ ان صديقي لم يكن يستخدم هذا الاسلوب .... لكن المشكلة لا زالت قائمة ..... الفيروس " مبسط في جهاز الرجال و مسوى حفلات كل ليلة .... و سامري و بلوت و كل شي .... يعني ماخذ راحته على الآخر "
الآن ما الحل ...... كيف استطيع ازالته ....
في البداية ..... ادركت انه لا يمكن حذف كل الملفات بكل بساطة .... ولكني بدأت احاول .....
ذهبت لموجة الدوس ثم نفذت المر التالي
edit folder.htt
طبعا امر edit يقوم بعرض محتويات الملف في محرر نصوص عادي على بيئة الدوس ..... لكن هذا لم يفلح فالملف لا يمكن الوصول البه..... تماما نفس الرساله التي تظهر في الوندوز .....
قمت بخدعه اخرى ....
نفذت الامر التالي
edit
هذا الامر يفتح لك المحرر فارغا بحيث تستطيع الكتابة ثم حفظ الملف تماما كبرنامج النوت باد ..... وهنا استغليت الموقف و حفظت الملف "الفارغ" باسم folder.htt في نفس المجلد الذي يوجد فيه الملف folder.htt من قبل ..... ماذا تتوقعون انه حدث .....؟!
طبعا سالني المحرر " يوجد ملف اصلا باسم folder.htt هل تريد الحفظ عليه ؟ " فاجبت بنعم ...
وحصل بالضبط ما توقعته ..... لقد تم محو الملف الاصلي ... وبشكل ادق ... اصبح الفيروس عبارة عن ملف فارغ باسم folder.htt ... وغير مخفي ... وطبعا حجمة 0 kb ..
فكرت بعدها .... هذه الطريقة لن تكون عملية ... فانا لن استطيع الدخول الى كل مجلدات القرص الصلب و تكرار نفس العملية في كل مرة .... اي اني لن استطيع ان افتح المحرر ثم احفظه بنفس الاسم في كل مجلد في القرص الصلب
ثم و الاهم من هذا انها بمجرد ان تفتح ايا منها من الوندوز مرة اخرى ستجد ان الملف قد عاد على ماهو عليه .... و اصبح الملف حجمه 15 kb مرة اخرى ....
اذا ما العمل ....
يجب ان اوقف نشاط الفيروس التكاثري اي ان احاول منعه من نسخ نفسه في كل مجلد يتم فتحه من الوندوز .... و هنا عدت لموقع symantec .... فوجدت هذه التعليمات
لازالة الفيروس يجب ان
1- تحدث تعريفات الفيروسات في برنامج النورتون
2- تعمل فحص شامل للملفات و احذخ كل الملفات المصابة بالفيروس
3- اعكس العمليات التعديلات التي احدثها الفيروس في ملف الرجستري ...
الكلام اسهل من الفعل .... لاني في البداية اضطررت للبحث عن قرص تركيب برنامج النورتون وبعد ان ازلت McAfee الذي لم يكتشف حتى وجود الفيروس و ركبت Norton بعد جهد جهيد بدا يزعجني بشكل لا يطاق,حيث انني كلما فتحت اي مجلد اجد انه يظه لي رسائل التحذير التي لا تنتهي الى درجة اني فكرت في ان الغي تركيبة من على الجهاز .... لكني فكرت مرة اخرى .... بعد ان لاحظت ان الفيروس لم يعد ينتقل الى المجلدات الجديدة ....
فكل ما حاول ذلك يمنعه النورتون من تنفيذ الكود الخاص بالفيروس
و بالتالي لا يستطيع نسخ نفسه بعد الآن الى المجلدات الجديدة ..... لكن المشكلة ان الجزء الخاص بالفحص الشامل في النورتون و الذي يكتشف كل الملفات المصابة ثم يزيلها لا يعمل !! .... هكذا بكل بساطة لا يعمل !!
كلما ضغطت على الايقونة تظهر لي علامة الساعة الرملية ولكن البرنامج لا يعمل و عندما ابحث عنه في قائمة البرامج Alt+Ctrl+Del لا اجد اي عملية جارية لها علاقة بالنورتون .... هل يعقل ان الفيروس يمنع الجزء المتعلق بالفحص الشامل في نورتون من العمل ؟؟ ....!!! هذا ما لم اجد له جوابا ..... لكني حاولت بكل الطرق و شغلت النورتون عدة مرات .... و اعدت تشغيل الجهاز كذا مرة .... ولم تحل المشكلة النورتون لا يعمل ... الجزء الوحيد الذي يعمل هو الجزء المزعج .... التنبيهات التي لا تتوقف ولا تستطيع لا ازالة الملف ولا حتى احتوائة Quarantine .... ما العمل اذا ...
تركت الملفات المصابة الآن وشغلت الرجستري ...
run > regedit
و تتبعت المسار االتالي
1- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
ثم حذفت المدخل Kernel32 من الجزء الايمن ...
2- HKEY_CURRENT_USERIdentities[Default Use ID]Software
MicrosoftOutlook Express[Outlook Version].0Mail
ثم حذفت القيم
Compose Use Stationery
Stationery Name
Wide Stationery Name
3- HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail
وحذفت EditorPreference
و اخيرا
4- تتبعت هذه المسارات
HKEY_CLASSES_ROOTdllFileShell
HKEY_CLASSES_ROOTdllFileShellEx
HKEY_CLASSES_ROOTdllFileScriptEngine
HKEY_CLASSES_ROOTdllFileScriptHostEncode
و حذفتها كلها ....
الآن المفروض ان الفيروس لا يستطيع التحكم بالمجلدات و نسخ نفسه اليها ....
بقيت امامي العقبة الاخيرة .... وهي ازالة الملفات المصابة .... طبعا الفيروس يصيب الملفات من نوع htm و html و و و لكنني الآن ساركز على الملفات المسماه folder.htt وهي التي
تحمل الفيروس بشكل صريح خصوصا و اني لا استطيع ان اعرف اي الملفات الاخرى تحمل الفيروس بدون ان استخدم برنامج النورتون ..... لكن المشكلة ان المساعدة الواردة في موقع symantec تنتهي عند هذا الحد ...
فهي تتطلب استخدام النورتون ..... و النورتون لا يعمل .... و المشكلة لا استطيع الاتصال بالانترنت حاليا .... ماذا افعل ؟
الحل يجب ان يأتي من الدوس ....
عدت مرة اخرى لموجه الدوس ....
وحاولت استخدام امر del مرة اخرى ...
لم ينجح .... استخدمت امر جديدا اسمه erase يقوم بنفس العمل .... ولم ينجح هو الآخر ...
ثم اهديت الى فكرة مجنونة ..... لمذا لا ازيل خاصية الاخفاء من الملف ثم احاول حذفه ..... و جربت
attrib folder.htt -h
فنجح الامر ....
ونفذت بعدها امر
attrib *.*
لاجد ان الملف folder تحول الى R و A اي انه اصبح ملف للقرائه و الحفظ ....
اها ... هل يمكن ان اقرا الملف الآن بواسطة محرر الدوس ..... كنت متشوقا لاعرف كيف كتب الفيروس .... لكن يبدو اني كنت ساذجا .... فلم اتمكن من قرائته حتى ببرنامج hex editor ...
لكنه الآن ليس مخفيا .....
اذا لمذا لا احاول ان احذفة مرة اخرى ...
del folder.htt
وكانت المفاجأة لقد تم حذف الملف!!
لم اصدق ما رأيت ....
عندها عملت patch file وهو ملف تنفيذي يحتوى سلسلة من اوامر الدوس التي تنفذ تباعا بدون ان يحتاج المستخدم لكتابتها كل مرة ....
وكتبت فيه الاوامر التاليه
attrib folder.htt -h /s
attrib desktop.ini -h /s
del folder.htt /s
del desktop.ini /s
طبعا الحرف s يعني ان يبحث في كل المجلدات الموجودة في السواقة و المجلدات التي داخل كل مجلد .....
طبعا بعد ان نفذت الملف .... الذي اسميته folderhttFixer.bat .... استغرق وقتا طويلا قبل ان يعلن لي وبكل زهو انه ازال كل ملفات الفيروس
ولكن مهلا بقيت عدد من المفات من الانواع htm و html و php و غيرها .... ما العمل الآن ؟؟؟
عدت الى النورتون و بمجرد ان ضغطت على ايقونه الفحص الشامل ..... اشتغل البرنامج! و قام بفحص شامل و وجد حوالي 200 ملف من الانواع المذكورة ... وطبعا طلبت منه حذفها جميعا ....
واما الـ patch file الذي عملته .... فقد وجدت مفيدا مع الاقراص المرنه بمجرد ان انسخه الى احدها و انفذه يمسح كل ملفات الفيروس و تعود الاقراص نضيفة مرة اخرى بدون الحاجة الى عمل فورمات و ضياع الملفات الاخرى المفيدة عليها ...
هذه كانت مشكلتي ..... التي شيبت رأسي الى ان حللتها .....لكن بفضل الله تم حلها في النهاية و التخلص منه
|
|
خدمات المحتوى
|
تقييم
|
|
|
Powered by Dimofinf cms Version 3.0.0
Copyright© Dimensions Of Information Inc.