فايورس بلاستر وطرق الحمايه منه

العقرب الأحمر · 22-08-2003, 04:05 مساءً

فالحديث عن فيروس جديد اسمه DCOM RPC أو ما أصبح يعرف بـ "W32.Blaster.Worm ".

وهو يستغل ثغرة في نظام الأمان لويندوز ويستغل البروتوكول المدعو RPC.

المعلومات المتوفرة حاليا عن الفيروس هي كالتالي:
الفيروس بدأ انتشاره منذ ساعات الظهيرة الأولى من يوم الأثنين والذي أخذ ، مؤقتا الأسم : "RPC DCOM", الـ RPC هو أحدى الخدمات المسؤولة عن بعض العمليات والتمهيدات في الأجهزة ويعمل على المنفذ رقم 135. الهجمة هذه التي بدأت مساء اليوم تصيب أحد الثغرات الحساسة لأنظمة ميكروسوفت. ونظام الأكس بي يصل المستخدم والتعريف الأفتراضي للخدمة هذه - RPC - هو : إعادة تشغيل النظام في حالة حدوث فشل في هذا النوع من الخدمة. هذه الخدمة متوفرة فقط في الأنظمة التالية (أنظمة ويندوز): NT, 2000, XP, SERVER 2003 لذلك هذا الفايروس يصيب فقط الأجهزة التي فيها أنظمة التشغيل هذه.
ولهذا الحل الأضافي هو اضافة فايير وول FIREWALL الذي يمكنه حجب هذا المنفذ - 135.
أما عن الأضرار فمؤقتا لا ضرر للفيروس سوى الأزعاج، وإعادة تشغيل الجهاز.

إذا جد جديد فسأقوم بإعلامكم.

ما العمل؟

إذا لم تصب بالفيروس:

1- قم بتحديث النظام لديك أو حمل تحديث ميكروسوفت لنظامك من هنا:
http://microsoft.com/technet/treevi...in/MS03-026.asp

2- اذا كنت تعمل مع نورتون تجد المشكلة والتحديث لأزالة الفيروس هنا:
http://securityresponse.symantec.co...aster.worm.html

إذا أصاب الفيروس جهازك:

أبحث في جهازك عن ملف يدعى بــ msblast.exe ، وقم بحذفه. إذا لم يتم الحذف أغلق الملف من الــ (Task manager) . أو بمساعدة برامج مثل EndItAll.
يمكنكم تحميله من هنا :

http://safsquad.com/Files/EndItAll2.zip

أغلق الملف وابحث عنه من جديد كي تحذفه.

وهذا التحديث الآخير للنورتون والذي يحوي تحديث ازالة هذا الفيروس:
http://securityresponse.symantec.co...811-019-i32.exe
------------------------------------------------
حل آخر فتاك للفيروس الجديد الذي يعيد التشغيل -

هذا حل جديد لمن لم يتمكن من إزالة الفايروس اللعين:

أدخل لوحة التحكم --------> أدوات إدارية ------> خدمات

تحت الأسم أبحث عن (Remote procedure call RPC)

أنقر عليه بزر الفأر الأيمن -------> خصائص --------> الأسترداد

في "الفشل الأول" و"الفشل الثاني" و"الفشل اللاحق" بدل (إعادة تشغيل الكمبيوتر) بــ " إعادة تشغيل الخدمة".

موافق . أعد تشغيل الجهاز وسينتهي هذا الكابوس المزعج إن شاء الله.

------------------------------------------------
المعلومات الأخيرة حول الفيروس:
بحسب المختصين بأنظمة الحماية - هذا الهجوم للفيروس ما هو إلا المرحلة الأولى، أما في المرحلة الثانية فسيقوم الفيروس بمهاجمة موقع التحديثات التابع لشركة ميكروسوفت بتاريخ 2003/08/16 بحيث يتم إغراق هذا الموقع بالطلبات (من قبل الأجهزة المصابة)، بهجمة واحدة مدبرة، مما يؤدي إلى تعطيله .
والطريف في الأمر أن ميكروسوفت قامت بتاريخ 2003/07/16 بطرح تحديث يعالج المشكلة (من أجرى التحديث قبل تاريخ 2003/08/11 فلا خوف على جهازه).
داخل كود الفيروس (والذي صنفته شركة سيمانتيك بدرجة خطورة 5/4) هناك رسالة لبيل جيتس تقول: " بيل جيتس، كيف تسمح بهذا؟ توقف عن جمع المال وأصلح برنامجك" !!
-----------------------
بما أن الأمور وصلت هذا الحجم وأصبح القاصي والداني يعرف بالقصة والحل، أوورد لكم ، استمرارا للمشاركة،حل شركة سيمانتك والذي أفادني به أحد الأصدقاء مشكورا.

1- حمل الملف التالي:
http://securityresponse.symantec.co...er/FixBlast.exe

2- (مع الشكر لأخي أشرف عبد اللطيف) قبل أن تشغل الملف يجب أن توقف خدمة إستعادة النظام وهى هامة جدا . وهي توقف كالتالي :
لإيقاف خدمة إستعادة النظام --
إبدأ
جهاز الكمبيوتر - إضغط عليه بزر الفأر الأيمن
خصائص
استعادة النظام
ضع علامة على turn off system restor
موافق
ولإستعادة الخدمة نفس الخطوات ولكن إحذف العلامة
وهذه خاصة بويندوز xp

3- شغل الملف الذي حملته.
سيقوم بالبحث عن الفايروس اللعين. فاذا وجده سيقوم بحذفه. وأما اذا لم يحذفه فقم بتشغيل الملف في "الوضع الآمن". بعد أن ينهي البرنامج يعمله سيطالبك بفتح صفحة في متصفحك توصلك إلى موقع تحديثات ويندوز. حمل التحديث الملائم. عندها سيكون كل شيئ على ما يرام.

للتفاصيل زوروا موقع الشركة ومنه أيضا تستطيعون تحميل البرنامج المدعو: FIXBLAST:
http://securityresponse.symantec.co...moval.tool.html
----------------------------------------------------------------
دودة جديدة أصابت الكثير من الأجهزة
W32.Blaster.Worm

الأسماء التي تظهر بها :
W32/Lovsan.worm , W32/Blaster-A , W32.Blaster.Worm , Worm.Win32.Lovesan

التأثير والأضرار :
تعمل هذه الدودة على إيقاف تشغيل النظام بالتأثير على نظم unpatched systems وتظهر رسالة الخطأ ( Remote Procedure Call (RPC ويكون تأثيرها فقط على نظم windows XP و windows 2000 تستخدم هذه الدودة البورت 135 في جهازك وتعرضه للاختراق عن طريقها...

طرق حذف الدودة :

- لإزالة هذه الدودة قم بتحميل ملف الإزالة لنسختك

- windows XP-Arabic
http://download.microsoft.com/downl...980-x86-ARA.exe
- windows XP -English
http://download.microsoft.com/downl...980-x86-ENU.exe
- windows 2000 -English
http://download.microsoft.com/downl...980-x86-ENU.exe
- windows NT
http://download.microsoft.com/downl...1a/Q823980i.EXE

للمزيد من الانضمة يمكنك زيارة صفحة الدودة في مايكروسوفت
http://www.microsoft.com/technet/tr...in/MS03-026.asp

- الطريقة اليدوية لإزالة الدودة

1- قم بالضغط على Alt+shift+Control ...
2- ستجد هذا الملف يعمل على نظامك MSBLAST.EXE
3- قم بايقاف عمل الملف عن طريق End Task أو انهاء المهمة
4- للتأكد من أن الملف تم ايقافه عن العمل قم باعادة تنفيذ العملية وتأكد من عدم وجود الملف مرة أخرى
5- بعد ذلك قم بفتح محرر الريجستري عن طريق تشغيل أو run من ابدأ أو Start واكتب في المربع regedit ثم اضغط موافق
6- اذهب بالترتيب الى هذا المجلد من اليسار الى اليمين
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run

ستجد ملف بهذا الاسم "windows auto update" = MSBLAST.EXE قم بالضغط على الزر الايمن بالفأره ثم حذفه..

لمتابعة جديد الفايروس والديدان قم بحفظ هذا الرابط في مفضلتك
http://www.alfaris.cc/modules.php?name=virus_info

أتمنى لكم و لأجهزتكم أتم الصحة والعافية

تحياتي :D

رنا · 23-08-2003, 08:43 صباحاً

[ALIGN=CENTER]

اخي الكريم

يسلمووووووو مااقصرت علي الطرح الرائع....كفيت ووفيت...
وفقك الله ورعاك

رناااا

[/ALIGN]

العقرب الأحمر · 30-08-2003, 08:19 صباحاً

مشكوره رنا علىالرد

وأسف على التأخير

تحياتي

paltalk plus · 01-09-2003, 04:08 صباحاً

تحيه طيبه
مشاء الله عليك ........
يعطيك الف عافيه ..........
تقبل تحياتي

22-08-2003, 04:05 مساءً	#1
العقرب الأحمر .:: catch me if you can ::. تاريخ التسجيل : Apr 2003 الدولة : many places الجنس : male عدد النقاط : 1678 المشاركات: 562	فايورس بلاستر وطرق الحمايه منه فايورس بلاستر وطرق الحمايه منه فالحديث عن فيروس جديد اسمه DCOM RPC أو ما أصبح يعرف بـ "W32.Blaster.Worm ". وهو يستغل ثغرة في نظام الأمان لويندوز ويستغل البروتوكول المدعو RPC. المعلومات المتوفرة حاليا عن الفيروس هي كالتالي: الفيروس بدأ انتشاره منذ ساعات الظهيرة الأولى من يوم الأثنين والذي أخذ ، مؤقتا الأسم : "RPC DCOM", الـ RPC هو أحدى الخدمات المسؤولة عن بعض العمليات والتمهيدات في الأجهزة ويعمل على المنفذ رقم 135. الهجمة هذه التي بدأت مساء اليوم تصيب أحد الثغرات الحساسة لأنظمة ميكروسوفت. ونظام الأكس بي يصل المستخدم والتعريف الأفتراضي للخدمة هذه - RPC - هو : إعادة تشغيل النظام في حالة حدوث فشل في هذا النوع من الخدمة. هذه الخدمة متوفرة فقط في الأنظمة التالية (أنظمة ويندوز): NT, 2000, XP, SERVER 2003 لذلك هذا الفايروس يصيب فقط الأجهزة التي فيها أنظمة التشغيل هذه. ولهذا الحل الأضافي هو اضافة فايير وول FIREWALL الذي يمكنه حجب هذا المنفذ - 135. أما عن الأضرار فمؤقتا لا ضرر للفيروس سوى الأزعاج، وإعادة تشغيل الجهاز. إذا جد جديد فسأقوم بإعلامكم. ما العمل؟ إذا لم تصب بالفيروس: 1- قم بتحديث النظام لديك أو حمل تحديث ميكروسوفت لنظامك من هنا: http://microsoft.com/technet/treevi...in/MS03-026.asp 2- اذا كنت تعمل مع نورتون تجد المشكلة والتحديث لأزالة الفيروس هنا: http://securityresponse.symantec.co...aster.worm.html إذا أصاب الفيروس جهازك: أبحث في جهازك عن ملف يدعى بــ msblast.exe ، وقم بحذفه. إذا لم يتم الحذف أغلق الملف من الــ (Task manager) . أو بمساعدة برامج مثل EndItAll. يمكنكم تحميله من هنا : http://safsquad.com/Files/EndItAll2.zip أغلق الملف وابحث عنه من جديد كي تحذفه. وهذا التحديث الآخير للنورتون والذي يحوي تحديث ازالة هذا الفيروس: http://securityresponse.symantec.co...811-019-i32.exe ------------------------------------------------ حل آخر فتاك للفيروس الجديد الذي يعيد التشغيل - هذا حل جديد لمن لم يتمكن من إزالة الفايروس اللعين: أدخل لوحة التحكم --------> أدوات إدارية ------> خدمات تحت الأسم أبحث عن (Remote procedure call RPC) أنقر عليه بزر الفأر الأيمن -------> خصائص --------> الأسترداد في "الفشل الأول" و"الفشل الثاني" و"الفشل اللاحق" بدل (إعادة تشغيل الكمبيوتر) بــ " إعادة تشغيل الخدمة". موافق . أعد تشغيل الجهاز وسينتهي هذا الكابوس المزعج إن شاء الله. ------------------------------------------------ المعلومات الأخيرة حول الفيروس: بحسب المختصين بأنظمة الحماية - هذا الهجوم للفيروس ما هو إلا المرحلة الأولى، أما في المرحلة الثانية فسيقوم الفيروس بمهاجمة موقع التحديثات التابع لشركة ميكروسوفت بتاريخ 2003/08/16 بحيث يتم إغراق هذا الموقع بالطلبات (من قبل الأجهزة المصابة)، بهجمة واحدة مدبرة، مما يؤدي إلى تعطيله . والطريف في الأمر أن ميكروسوفت قامت بتاريخ 2003/07/16 بطرح تحديث يعالج المشكلة (من أجرى التحديث قبل تاريخ 2003/08/11 فلا خوف على جهازه). داخل كود الفيروس (والذي صنفته شركة سيمانتيك بدرجة خطورة 5/4) هناك رسالة لبيل جيتس تقول: " بيل جيتس، كيف تسمح بهذا؟ توقف عن جمع المال وأصلح برنامجك" !! ----------------------- بما أن الأمور وصلت هذا الحجم وأصبح القاصي والداني يعرف بالقصة والحل، أوورد لكم ، استمرارا للمشاركة،حل شركة سيمانتك والذي أفادني به أحد الأصدقاء مشكورا. 1- حمل الملف التالي: http://securityresponse.symantec.co...er/FixBlast.exe 2- (مع الشكر لأخي أشرف عبد اللطيف) قبل أن تشغل الملف يجب أن توقف خدمة إستعادة النظام وهى هامة جدا . وهي توقف كالتالي : لإيقاف خدمة إستعادة النظام -- إبدأ جهاز الكمبيوتر - إضغط عليه بزر الفأر الأيمن خصائص استعادة النظام ضع علامة على turn off system restor موافق ولإستعادة الخدمة نفس الخطوات ولكن إحذف العلامة وهذه خاصة بويندوز xp 3- شغل الملف الذي حملته. سيقوم بالبحث عن الفايروس اللعين. فاذا وجده سيقوم بحذفه. وأما اذا لم يحذفه فقم بتشغيل الملف في "الوضع الآمن". بعد أن ينهي البرنامج يعمله سيطالبك بفتح صفحة في متصفحك توصلك إلى موقع تحديثات ويندوز. حمل التحديث الملائم. عندها سيكون كل شيئ على ما يرام. للتفاصيل زوروا موقع الشركة ومنه أيضا تستطيعون تحميل البرنامج المدعو: FIXBLAST: http://securityresponse.symantec.co...moval.tool.html ---------------------------------------------------------------- دودة جديدة أصابت الكثير من الأجهزة W32.Blaster.Worm الأسماء التي تظهر بها : W32/Lovsan.worm , W32/Blaster-A , W32.Blaster.Worm , Worm.Win32.Lovesan التأثير والأضرار : تعمل هذه الدودة على إيقاف تشغيل النظام بالتأثير على نظم unpatched systems وتظهر رسالة الخطأ ( Remote Procedure Call (RPC ويكون تأثيرها فقط على نظم windows XP و windows 2000 تستخدم هذه الدودة البورت 135 في جهازك وتعرضه للاختراق عن طريقها... طرق حذف الدودة : - لإزالة هذه الدودة قم بتحميل ملف الإزالة لنسختك - windows XP-Arabic http://download.microsoft.com/downl...980-x86-ARA.exe - windows XP -English http://download.microsoft.com/downl...980-x86-ENU.exe - windows 2000 -English http://download.microsoft.com/downl...980-x86-ENU.exe - windows NT http://download.microsoft.com/downl...1a/Q823980i.EXE للمزيد من الانضمة يمكنك زيارة صفحة الدودة في مايكروسوفت http://www.microsoft.com/technet/tr...in/MS03-026.asp - الطريقة اليدوية لإزالة الدودة 1- قم بالضغط على Alt+shift+Control ... 2- ستجد هذا الملف يعمل على نظامك MSBLAST.EXE 3- قم بايقاف عمل الملف عن طريق End Task أو انهاء المهمة 4- للتأكد من أن الملف تم ايقافه عن العمل قم باعادة تنفيذ العملية وتأكد من عدم وجود الملف مرة أخرى 5- بعد ذلك قم بفتح محرر الريجستري عن طريق تشغيل أو run من ابدأ أو Start واكتب في المربع regedit ثم اضغط موافق 6- اذهب بالترتيب الى هذا المجلد من اليسار الى اليمين HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run ستجد ملف بهذا الاسم "windows auto update" = MSBLAST.EXE قم بالضغط على الزر الايمن بالفأره ثم حذفه.. لمتابعة جديد الفايروس والديدان قم بحفظ هذا الرابط في مفضلتك http://www.alfaris.cc/modules.php?name=virus_info أتمنى لكم و لأجهزتكم أتم الصحة والعافية تحياتي :D

23-08-2003, 08:43 صباحاً	#2
رنا .. مراقبــة متقاعدهـ .. تاريخ التسجيل : Dec 2002 الدولة : °♥ صومعـة العشــق ... نور ع ـيوني القطيف ♥° عدد النقاط : 2868 المشاركات: 17,765	Re: فايورس بلاستر وطرق الحمايه منه [ALIGN=CENTER] اخي الكريم يسلمووووووو مااقصرت علي الطرح الرائع....كفيت ووفيت... وفقك الله ورعاك رناااا [/ALIGN]

30-08-2003, 08:19 صباحاً	#3
العقرب الأحمر .:: catch me if you can ::. تاريخ التسجيل : Apr 2003 الدولة : many places الجنس : male عدد النقاط : 1678 المشاركات: 562	Re: فايورس بلاستر وطرق الحمايه منه مشكوره رنا علىالرد وأسف على التأخير تحياتي

01-09-2003, 04:08 صباحاً	#4
paltalk plus [قلب مشارك‎]‏ تاريخ التسجيل : May 2003 الدولة : المملكة العربية السعودية عدد النقاط : 85 المشاركات: 363	Re: فايورس بلاستر وطرق الحمايه منه تحيه طيبه مشاء الله عليك ........ يعطيك الف عافيه .......... تقبل تحياتي

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه للموضوع: فايورس بلاستر وطرق الحمايه منه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
كيف احذف جدار الحمايه	تونيا	الكمبيوتر و البرامج	4	09-10-2005 05:11 صباحاً
فـــايرس بلاستر وكيفية التخلص منـــه::	أبو ريناد	الكمبيوتر و البرامج	6	28-04-2005 05:34 مساءً
كيفيه التخلص من بلاستر؟	فــرنــســا	الكمبيوتر و البرامج	5	18-11-2004 04:36 صباحاً
صوره اللي صنع فايروس بلاستر	ملكه القلوب	الكمبيوتر و البرامج	3	08-09-2003 06:35 صباحاً
حل مشكلة (فايرس بلاستر)......التحدي	التحدي	روح وريحان	2	23-08-2003 03:16 مساءً