فيروسات الأوتورن.الوقاية والعلاج

alaa7r · 01/02/2009

عالكرسي قعدت وع نفسي اعتمدت وبالكيبورد كتبت.

كلنا بنعرف انو الفيروسات ضارة مو هيك
يعني وهالفيروسات بتجي على الجهاز من مصدر خارجي يلي هوي
إما الانترنت والبريد الالكتروني . أو عن طريق وسائط التخزين المتنقلة ( CD ، Flash memory ، .....)
وبالسنتين الأخيرات انتشر كتير استخدام الفلاش ميموري وما ضل حدا عندو كومبيوتر ما عندو فلاشة
وبقدر ما انتشر استعمالها انتشرت معها الفيروسات - خصوصا ما يسمى فيروسات الأوتورن - (وعاثت فساداً في الأجهزة) وكان من بين أعراضها انو تتعطل خيارات المجلد او خيار ادارة المهام و...و....
وبما انو النت عنا بطيء فقليل من الناس كانت تعمل تحديث للأنتي فيروس يلي عندون.
وبالموضوع هاد رح اشرح كيف ممكن انو نأمن حماية شبه كاملة من هاد النوع من الفيروسات ببرامج ما بدها لا تحديث ولا بطيخ.

التعرف على الفيروس

ليش سموه فيروس الأوتورن؟
ياسيدي قال لأنو بيشتغل منو لحالو، يعني انت ما ضروري تفتحو هيك متلو متل أي ملف عادي.
هي صوره لفلاشة مصابة بفيروس ( الفيروس هوي يلي محطوط عيه دائره)

متل ما ملاحظين أنو مكون من جزئين
الأول : ( لونو أزرق وأبيض وفيه مسنن) يعني هاد هوي الجزء التنفيذي من الفيروس وهوي يلي بسبب الضرر.
وما بيكون الو امتداد معين يمكن يكون(exe أو bat أو com ......)
الثاني : (متل رمز المفكر وفيه مسنن) هاد الملف هو من أعطا الفيروس ميزة التشغيل الذاتي (الأوتورن)
الملف هاد امتداده من نوع (inf) دائماً.
اذا فتحنا هاد الملف بنشوف انو مكتوب فيه ما يلي :

كود PHP:


			
 
[AutoRun]
open=nq0cq.cmd
shell\open\Command=nq0cq.cmd
 shell\explore\Command=nq0cq.cmd

[AutoRun]: يعني تشغيل ذاتي
السطر الأول معناه : انو اذا فتحت الفلاشة (يعني نقرتين ) شغلي الملف nq0cq.cmd (يلي هو الفيروس )
السطر الثاني معناه : انو اذا نقرت باليمن على الفلاشة واخترت فتح شغلي الملف nq0cq.cmd
السطر الثالث معناه : انو اذا نقرت باليمين على الفلاشة واخترت استكشاف شغلي الملف nq0cq.cmd

يعني انت بأي طريقة رح تفتح فيها الفلاشة رح يشتغل الفيروس وبدون بدون ما تحس انو صار شي (إلا طريقة رح نذكرها بعدين )
شايفين شو ابن حرام هالفيروس .
شغلة تانية
انو هاد الفيروس بيكون ملف مخفي (بس مو إخفاء عادي) يعني بيكون مخفي كملف متل ملفات النظام الحساسة وهي ما بتظهر إلا اذا انت شلت التفعيل عن خيار (إخفاء ملفات نظام التشغيل ) هي الشغلة فيك تعملها من خيارات المجلد.
هلا بعد ما نلنا شرف التعرف على الفيروس وعرفنا كيف رح يهجم علينا صار فينا نختار أفض الطرق للقضاء عليه.

الوقــايـــة

الطريقة الأولى

تتلخص بالتخلص من الملف Autorun)) يلي شرحنا شو مهمتو. بعد ما بيحذفو بتشيل الفلاشة وبترجع بتحطها.
البرنامج المستخدم : برنامج صغير اسمو مكنسة الفيروسات _ برمجة سورية –
الميزات: خفيف على الجهاز وما بتحس فيه
سريع بالعمل انت بتحط الفلاشة بالجهاز من هون وفورا بينط وبيفحصها وبيقللك اذا فيها شي .
العيوب : 1- لا يحذف الفيروس بالكامل وأنما فقط ملف الأوتورن.
2 – يحذف بشكل أعمى ( يعني اذا حاطط صورة كخلفية بالفلاشة رح يكون الفلاشة فيها ملف من نوع ( ini) البرنامج يتعامل معه على انو فيروس بس شو بدك فيه لا ترد عليه ( اذا كنت بتعرف يعني انو هاد مو فيروس )

لتحميل المقشّة :

- ابو شريك هاي الروابط الي بيحطوها الأعضاء ما بتظهر ترى غير للأعضاء، فيعني اذا ما كنت مسجل و كان بدك اتشوف الرابط (مصرّ ) ففيك اتسجل بإنك تتكى على كلمة سوريا -

الحجم(3 ميغا)

الطريقة الثانية
استخدام برنامج USB Disk Security
هاد البرنامج انا عرفتو من مقهى انترنت(fire net) عنا باللاذقية كان عم يستخدمو يعني والمقهى مرتب وما بيستخدم شو ماكان لذلك يعني البرنامج كويس مابو شي.
الميّزات:
برنامج لا يحتاج الى تحديث .
يقوم بحذف الفيروس بالكامل على عكس مكنسة الفيروسات .
في الو وظائف تانية متل عرض برامج بدء التشغيل وتنظيف الأقراص.
العيوب
فينا نقول شبه معدومه مع انو كان يتنح جهازي معو أحيانا وكمان انا بشك بقدرتو على الحماية خصوصي انو ما بدو تحديث.
لتحميل البرنامج : - ابو شريك هاي الروابط الي بيحطوها الأعضاء ما بتظهر ترى غير للأعضاء، فيعني اذا ما كنت مسجل و كان بدك اتشوف الرابط (مصرّ ) ففيك اتسجل بإنك تتكى على كلمة سوريا -

الحجم (1 ميغا)

الطريقة الثالثة

طريقة يدوية بحتة بدون أي برنامج تتلخص بما يلي :
لما بتحط فلاشة بالجهاز لا تفتحها أبدا بالطرق التقليدية وانما
بتروح على جهاز الكومبيوتر أو المستندات اذا بدك وبتنقر على السهم يلي بيفتحلك شريط العنوان ومن هونيك بتفتح الفلاشة .
انت بتكون عامل إظهار للملفات المخفية وبالتالي رح تشوف الفيروس وتحذفوا.
طريقة تانية : بتفتح جهاز الكومبيوتر بعدين بتنقر على أيقونة مجلدات (موجودة جنب أيقونة البحث)
هون بيطلعلك على اليسار او اليمين حسب لغة الجهاز شجرة المجلدات ومنها بتفتح الفلاشة والباقي متل ما سبق.
انا من ناحيتي عم استخدم هالطريقة الى جانب مكنسة الفيروسات.
ملاحظة
بما انو عم نحكي عن فيروسات الأوتورن انا بنصح انو يتم الغاء ميزة الأوتورن بالجهاز
نلغيها من جذورها (من الريجستري يعني ).

العـــلاج

فرضا انو فلت هالفيروس ابن الحرام من الدفاعات السابقة ومن الأنتي فيروس كمان وضرب ضربتو شو لا زم نتصرف .
هون بدي وضح شغلة
انو لما الفيروس بيصيب الجهاز بينفذ التعليمات الموجودة فية و بيعمل الخطوات التالية :
1- بينسخ نفسو على كافة السواقات الموجودة بالجهاز.
2- بينتقل مع كل عملية نسخ من الجهاز الى أي فلاشة بتحطها بالجهاز.
3 الشي الأهم انو بيحط ملف بمجلد النظام وبيكون هاد الملف من البرامج يلي بتشتغل مع بدء التشغيل .
بقى هون في طريقتين
الأولى
طريقة آلية ، للمبتدئين.
هون لازم نعمل تحديث للأنتي فايروس لأنو الفيروس مرق منو بعد ما بنعمل تحديث بنعمل فحص للجهاز
لحتى يقوم الأنتي فيروس بمسح الفيروس من الأقراص ومسح الملف يلي عم يشتغل مع بدء التشغيل.
هون بنكون تخلصنا من الفيروس بس يا حباب ضلت الآثار التخريبية للفيروس وهي إصلاحها مو من مهمه الأنتي فايروس لأن مهمتو هي الوقاية وليس العلاج.
هون رح نستخدم أداة إزالة القيود (RRT) – برمجة ليبية –
هي صورة للأداة في حالة جهاز سليم

هي الأداة يلي بيكون فيها مكتوب بالأحمر يعني هاد شي غلط سببو الفيروس
بقى اذا شفت شي بالأحمر انقر فعل هذا الخيار ثم انقر فوق Remove
بس ملاحظين انو الصورة فيها شي بالأحمر مع اني عم قول انو الجهاز سليم.
الخيار يلي بالأحمر هو Hide file extantions
هاد الخيار لا حدا يفعلو يعني تركوه بالأحمر معلش
هاد الخيار بيعني :إظهار امتداد الملفات . واذا فعلتوه رح يظهر امتداد كل ملف كجزء من اسمو
وهون اذا غيرت اسم أي ملف لازم تكتب معو امتدادو والا ما بيصير مشكلة صغيرة.
مثال :
انا عندي ملف اسمو 5 وهو أغنية MP3 بقى اذا بدي غير اسمو وسميه (موسيقى) لازم اكتب (موسيقى.MP3 ) شو وضحت الفكرة؟؟
لتحميل الأداة : - ابو شريك هاي الروابط الي بيحطوها الأعضاء ما بتظهر ترى غير للأعضاء، فيعني اذا ما كنت مسجل و كان بدك اتشوف الرابط (مصرّ ) ففيك اتسجل بإنك تتكى على كلمة سوريا -

الحجم (71 كيلو بايت)

الطريقة الثانية
طريقة يدوية ، للخبراء
بتعتمد على انو نحذف الفايروس يدويا ونحذف كمان الملف يلي موضوع ببدء التشغيل.
بس يمكن حدا يقلي انو كيف أنا بد يشوف الفايروس منشان احذفو وهالابن الحرام كان معطل خيار إظهار الملفات المخفية.
اي بسيطة فيك تشوف الفايروس عن طريق برنامج استعراض الصور ACDsee هاد يا سيدي ما بيخلي شي مخبى ( يخرب بيتو ما بيترك ستر على حدا) حتى لو كان صايبك فيروس .
وهيك بنكون خلصنا

ملاحظات :
1- يمكن في أمور غامضة ما موضحها منيح ، بس والله عملت جهدي لأنو أنا هيك من يوم يومي ما بعرف عن عبر الشي يلي براسي وكل مواضيع التعبير كنت انقلها نقل من العاشر حتى البكالوريا.
2- بالنسبة للأداة (RRT) صار في إصدار أحدث وفية ميزات أكتر فيكون تحملوه من موقع المبرمج يلي عملها بس والله يا حبايب مانو مجاني بس فيك تحل فية شوية مشاكل بس بيضل يطلعلك رسائل مشان تشتريها.
3- نصيحة للكل انو كل يوم يعملو تحديث للأنتي فايروس يعني يلي منزل كاسبر يروح على شي مقهى ويحمل التحديثات من الموقع الرسمي ويحدث البرنامج يدويا (الشرح موجود بالموقع) وبعدين يحدثو كل يوم من البيت ما بياخد وقت.

Abu Guzef · 01/02/2009

جميل جدا
هاد الفايرس إلي عندو ذكريات أليمة
بيوم من هلإيام وقعت معارك طاحنة بيني وبينو

طبعا هوي عم ينسخ حالو
وشغال معو كمان فايروس ال win32

يوميتا قررت إنو إنهي الموضوع بيني وبينو صارت مسألة شخصية الشغلة

صار في تارات و حفظ ماء الوجه كونو كانو يعطولي آنتي فايروس لأن ما بنزل آنتي فايرس عالجهاز أنا بلقوطون يدويا
وبهل معركة العنيفة قررنا نتسلح ب برنامجين
1‏ بيفتح الريجستر وخيارات المجلد
2‏ واحد بيدور ع هي الحرطيق

ما أخد شغلة 10 دقايق كنا لاعنين دينو
بس صير ع جهازي رح برفع البرنامجين ل تضيفون ل مجموعتك

alaa7r · 01/02/2009

إيه إيه يا عمي بو جوزيف لا تذكرني بالأحداث الدامية أنا كمان.

مشان البرامج ايه والله يا ريت ترفعهون- نكون لك من الشاكرين- لأنو وصلتني معلومات إنو العدو عم يعيد تسليح نفسو .