الحذر الحذر من بعض المواقع! .. Activex الفيروس المخادع

كتب أسامة الكسواني



بدأ في الآونة الاخيرة انتشار بعض الفيروسات الذكية والخطرة في الوقت نفسه باتباعها اسلوبا جديدا بين المبحرين في عالم الانترنت مستغلة الكم الهائل من البشر في بحثهم عن ملفات الموسيقى والفيديو وغيرها من الوسائط المتعددة، وهذا لا يعني ان جميع المواقع تحتوي على تلك الفيروسات، ولكن توجد على الاقل بعض من الدلائل التي من الممكن ان تحد من اصابة الحاسوب بتلك الفيروسات او انتشارها من على الشبكة ان كانت تلك الحواسيب مرتبطة بشبكة محلية وخلافه.
وحسب آخر الاحصائيات، فقد تم انتشار الفيروسات والتي هي من نوع الـ Activex في اكثر من 5 ملايين حاسوب في دول العالم والعملية في انتشار مستمر، حتى ان معظم التطبيقات الخاصة بمضادات الفيروسات لا تكتشفها بتاتا، السبب من وراء ذلك هو ذكاء ودهاء مصنعها، الأمر الذي يجعل الحاسوب بحاجة الى ذلك الملف مرتبطا في البروتوكول المستخدم في المتصفحات رقم 80، وهو البروتوكول المسؤول عن جلب البيانات وتصفحها من خلال الـ iExplorer او متصفح الـ FireFox وغيره من المتصفحات، ومن ثم تظهر للمستخدم رسالة في اعلى المتصفح مفادها يجب في سبيل تشغيل الملف المطلوب يجب ان تقوم بتثبيت بعض الملفات التي يحتاجها المتصفح، فيقوم المستخدم بتثبيتها على الفور، حتى يقوم برؤية ملف الفيديو او الاستماع الى ملف الموسيقى المرغوب فيه، وما هي ثوان معدودة حتى ترى ان الامر مجرد مزحة ولا يجد المستخدم اي تقدم في العملية، فيغلق المتصفح ايا كان نوعه، ومن ثم تتوالى النوافذ في الظهور ثم تختفي، وبعدها يقوم المتصفح باعادة توجيهك مباشرة الى احد المواقع، مع اظار العديد من الرسائل.

الجدير بالذكر ان العديد من المواقع قد صممت خصيصا للقضاء على المواقع الاخرى والعديد من الحواسيب بما فيها الخوادم العملاقة التي يطلق عليها السيرفرات.
ولا يمكن لاي تطبيق مضاد للفيروسات الا في حدود امن قصوى في التعرف على تلك الفئة الجديدة من تلك الفيروسات، الامر الذي يدعو للاستغراب بشكل جدي وهو ما يقوم على خداع المستخدم ان تلك الملفات هي من الملفات المهمة التي يجب على المتصفح ان يقوم بتشغيلها، وهو ما يجعل الامر يبدو كأمر عادي، فيقوم المستخدم بتحميل ذلك الملف مخفيا وراءه العديد من المشاكل التي قد تحصل بمجرد ان يطأ موضع الحاسوب وعلى نفحات القرص الصلب.
وكما ذكرنا سابقا عند ظهور تلك الرسالة في اعلى المتصفح، وتحتوي على كلمة Active X، يقوم المستخدم بتحميلها وتظهر له عدة نوافذ اخرى، ومن ثم تقوم برامج المضادات للفيروسات بالاحساس بوجود خطر ما ومن ثم تبدأ في اظهار ان الحاسوب قد تأثر باحد الفيروسات، وتبدأ المشكلة، حيث لا يستطيع اي برنامج مضاد للفيروسات ان تقوم باستكشافه قبل ان يتم تحميله على القرص الصلب، ويطلق على الفيروس اسم Win 32.Netbooster، والجدير بالذكر ان الامر لا يقتصر على ذلك، بل تظهر تلك الرسالة في اكثر المواقع المشبوهة للصور الاباحية او الفيديو او حتى لسماع او تحميل الملفات ذات نسق MP3 وتحميلها مجانا من تلك المواقع.

الأضرار التي تصيب الحاسوب


1- اختفاء ايقونة الهارديســك :C من My Computer ، وفي تلك الحالة لا يمكنك الرجوع والذهاب الى القرص الصلب لأي سبب كان، ولكن توجد خدعة يمكن القيام بها حتى تتمكن من الولوج الى القرص الصلب، واول ما عليك فعله هو فتح اي مجلد من على سطح المكتب، ثم كتابة :C في اعلى المجلد (المسار الخاص بفتح المجلدات)، ومن ثم تجد ان القرص الصلب يظهر امامك.
2- عدم امكانية استخدام اوامــر قـائمة الــ Run، وبذلك يستحيل على المستخدم القيام بأي امر يمكنه من التحكم بالحاسوب، وتعطيل جميع الاوامر شيئا فشيئا.
3- تعطيل الــ Control Panel من القائمة ، التي تمنع المستخدم من فتح تلك الخدمة، ومن ثم تعطيل امكانية ازالة البرامج.
4- عدم القدرة على تشغيل البرامج الاساسية في الحاسوب.
5- عدم التصفح بشكل طبيعي من خلال الانترنت اكسبلورر او اي متصفح آخر.
6- عدم القدرة على إزالة الملفات المؤقتة بالحاسوب من جراء الـــ Cookies الموجودة والمثبتة في المجلدات المؤقتة.
7- عدم القدرة على تشغيل الاوامر الاساسية في الويندوز.
8- لا يقوم الفيروس بازالة اي ملفات من الحاسوب.
9- له القدرة على سرقة البيانات من الحاسوب ايا كانت ونقلها من خلال الانترنت ومن خلال البوابات المفتوحة والتي يطلق عليها البورتات الى مواقع اخرى مرصودة بالكامل لذلك الغرض.

كيفية إزالة الفيروس Win32.Netbooster المخادع!

توجد حتى الآن طريقتان لازالة الفيروس من الحاسوب وضمان رجوعه الى سابق عهده، ولضمان ازالة الفيروس يفضل القيام بها من خلال نافذة الـSafe Mode، وحتى يتم تفعيل تلك النافذة يجب اتباع الاجراءات التالية:
1- اعادة تشغيل الحاسوب.
2- اثناء اعادة التشغيل، يقوم المستخدم بالضغط على مفتاح F8 الموجود في اعلى لوحة المفاتيح باستمرار، وقبل ظهور جملة Starting Windows على الشاشة.
3- تظهر للمستخدم شاشة سوداء تحتوي على عدة قوائم، نقوم باختيار قائمة Run Windows in Safe Mode بالذهاب اليها من خلال استخدام الاسهم في لوحة المفاتيح، ومن ثم الضغط عليها من خلال مفتاح الادخال.
4- تظهر للمستخدم شاشة نظام التشغيل بألوان باهتة، ومن ثم ظهور رسالة في منتصفها، نقوم بالضغط على مفتاح Yes ومن ثم الاستمرار في الذهاب الى قائمة الويندوز.
وبعد ولوج المستخدم الى تلك الشاشة يقوم بالاجراءات التالية حرفيا:
الطريقة الأولى: وهي تعتبر من الطرق التي من الصعب العمل من خلالها في حالة وصول الفيروس الى العديد من ملفات النظام والتأثير عليها، وذلك بسبب عملية التعطيل التي يمكن ان يتسبب بها الفيروس، فلا يمكنك ان تقوم بازالة تلك الملفات، وفي بعض الحواسيب يمكن عمل ذلك يدويا بالطريقة التالية:
أولا: ازالة الملفات التالية يدويا من الجهاز بشكل نهائي وبعد البحث عنها في اماكن تواجدها من خلال قيام المستخدم بتشغيل الويندوز من خلال الـSafe Mode، ومن ثم القيام بجميع الاجراءات في ازالة تلك الملفات التالية:
mscfg32.dll
cjvy.dll
stream32a.dll
websrc32.dll
ttvbonvgl.dll
ssqppol.dll
mlljh.dll
vtssp.dll
gqagksr.dll
esent9.dll
pmspl.dll
windivx.dll
msvideo.dll
ecxwp.dllurqnomm.dll

معلومات مفيدة جزاك الله خيرا عليها

ثانيا: الذهاب الى قائمة البدء واختيار Run من القائمة وكتابة الامر التالي regedit، حتى يقوم المستخدم بفتح الملف الخاص بالريجيستري، ومن ثم البحث عن الاسطر التالية بما فيها كاملة والغائها نهائيا:
c4545fc9-26d0-4ccf-b4fb-728aed895dbd
BBB05D9E-0297-404D-A6BF-D8F2876B84A6
E856E05E-1B91-4339-9EFC-9A3308CB5491
D17CFF74-A19C-4C36-821A-E074E4F889CA
15EB9F40 – D775 – 4463 – B75B – 8687B3C66BB7
62EA9201 – 8CC7 – 4199 – AC30 – 7744F836322E
43BA0532 -0D69 – 458A – 8C71 – AD0F6AE70D19
B3E45A9B – 7756 – 46A2 – AB14 – 90175CD374F9
69B98C68-D2B8-4A4E-9CB7-E85B6F3A7014
A8565FBC-8D53-4D4F-9BB0-CBC68A22B126
F9EAAA11-DF98-4615-A2C7-7D03C86A6BE9
202EBB90-ABD4-46CC-BB5A-4F0ECC67B331
b166be07-30a4-4d38-b781-44528a630706
6D64B03B-3B93-4AF2-BFC6-01264A4C7F2A
6A719349-BDF5-4268-9019-4ACA0C2562D2
ثالثا: بعد الانتهاء من ازالة القيم السابقة من ملف الريجستري، تقوم باعادة تشغيل الحاسوب الى وضعه الطبيعي.
الطريقة الثانية: وهي تعتبر الطريقة المثلى في ازالة الفيروسات من الحاسوب، وذلك من خلال تثبيت بعض التطبيقات الخارجية من خلال تحميلها من المواقع ومن حاسوب آخر، ومن ثم تنقل من خلال الـCD او من خلال Flash Memory، ومن ثم تثبت على الحاسوب، ويفضل في تلك الحالة ان يقوم المستخدم بعمل جميع الاجراءات من خلال نافذة الـSafe Mode الخاصة بالويندوز.
وفي حالة عدم ازالة الفيروس بالطريقة اليدوية، يجب هنا ان تقوم بالبحث عن البرامج التالية من خلال محرك البحث غوغل والقيام بتثبيتها على الحاسوب ومن ثم اجراء تنفيذ تلك التطبيقات من خلال الـ Safe Mode في الويندوز، وتلك التطبيقات هي:
Combo Fix
Smitfraud Fix
وبعد التأكد من خلال التطبيقات ان عملية ازالة الفيروسات قد تمت، يقوم المستخدم باعادة التشغيل للحاسوب مرة اخرى، وذلك للتأكد من ان الامور قد عادت الى طبيعتها والتأكد من عدم خلل في متصفح الانترنت بعد ان يقوم بتجربة الابحار الى اي موقع آخر.

اقتباس: المشاركة الأصلية كتبت بواسطة عبد الرسول معله     معلومات مفيدة جزاك الله خيرا عليها

وجزاك الله خيرا سيدي الكريم

تحيتي

تسلم

ومنكم نستفيد
معلومات هامة ومفيدة
سلمت يداك
مودتي

اقتباس: المشاركة الأصلية كتبت بواسطة رائدة زقوت     ومنكم نستفيد معلومات هامة ومفيدة سلمت يداك مودتي

شكرا لزميلتي المميزة

شكرا لأناقة الحضور

تحيتي

تسلمين