طرأ علينا هذا الفيروس الجديد من النوع worm وبمثابة باك دور
W32.Spybot.Worm
وتمكنت شركة نورتون كعادتها من وضع حل لهذه الدودة الخبيثة
تأتي هذه الدودة من ملفات المشاركة في برنامج الكازا kazaabackupfiles
حيث تتغلغل الى نظام الوندوز وتقوم هذه الدودة بالبحث عن اي باك دور لهذه البرامج حتى تستطيع الدخول منه
Backdoor.Kuang and Backdoor.SubSeven, and uploads itself to these hosts.
وبرنامج المحادثة MIRC
وهذه بعض انواعها
Worm.P2P.SpyBot.gen [KAV], W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend], Win32.Spybot.gen [CA]
صنعت هذه الدودة بواسطة برنامج الفيجوال سي ++
كيفية عملها في الجهاز :-
تقوم الدودة بنسخ نفسها في ملفات النظام وتبقى مختفية تماما وتسجل نفسها في هذه المفاتيح الخاصة بالريجستري
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Once
وفي انظمة الوندوز تكون هذه الدودة مختفية من قائمة TASKS ولا تظهر ايدا
تصيب
Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
ولا يتأثر بها مستخدمو
Macintosh, OS/2, UNIX, Linux
ضررها :-
عملها كعمل اي باك دور
سرقة الباسووردات والاي بي وتفاصيل الجهاز مع امكانية مسح الملفات او عمل اعادة تسمية لها
وهذا هو التحديث الاخير للنورتون الذي يستطيع القضاء على الدودة
========
الآن أنت عندما تقوم بالفحص بواسطة مكافح الفيروسات النورتن تظهر لك الصورة أدناه
[align=center]
[/align]
[c]طريقة التخلص من فايروس W32.Spybot.Worm
[/c]
1) وقف خاصية استعادة النظام ( للويندوز اكس بي وملينيوم )
( من المهم عدم تجاوز هذه النقطة )
الطريقة للويندوز XP
http://service1.symantec.com/SUPPORT...rc=sec_doc_nam
الطريقة للويندوز Me
http://service1.symantec.com/SUPPORT...rc=sec_doc_nam
2) حدث برنامج الانتي فايروس ( النورتن لديك )
3) اعادة تشغيل الجهاز في الوضع الامن Safe Mode
ولعمل ذلك :
بمجرد تشغيل الجهاز
اضغط على مفتاح F8
من القائمة اختار Safe Mode
4) افحص الجهاز ببرنامج الانتي فايروس وقم بحذف الملفات المكتشفة كـ W32.Spybot.Worm
((قبل الحذف اكتب اسماء الملفات لانك ستحتاجها فيما بعد ))
5) التعديل في سجل النظام الريجستري Registry
من ابدأ Start
تشغيل Run
اكتب regedit
موافق
سيفتح لك سجل النظام Registry
تتبع المسار التالي
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
في الجهة المقابلة
قم بالغاء اي اسم مما تم اكتشافه كـ W32.Spybot.Worm
تتبع المسار التالي
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunOnce
في الجهة المقابلة
احذف اي قيمة تتعلق بالاسماء
التي حذفتها في الخطوة السابقة
تتبع المسار التالي :
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices
في الجهة المقابلة
احذف اي قيمة تتعلق بالاسماء
التي حذفتها في الخطوة الاولى
تتبع المسار التالي :
HKEY_CURRENT_USER
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
في الجهة المقابلة
احذف اي قيمة تتعلق بالاسماء
التي حذفتها في الخطوة الاولى
اغلق الريجستري
6) الغاء اي ملف قيمة ( 0 ) صفر من مجلد بدء التشغيل Startup folder
1) في البحث اكتب ( او انسخ والصق )
tftp*.*
( النجمتين والنقطة بعد الحروف )
2) وحدد مجال البحث
جميع الملفات والمجلدات
3) قم بالغاء اي ملفات يتم اكتشافها قيمتها صفر ( 0 ) فقط و يكون مسارها ضمن مجلد ينتهي بـ Startup
لكن يفضل التاكد بالطريقة اليدوية
وخاصة في مسارات الريجستري المذكورة
وهدف البحث هو ملف videio_32.exe
و في الأخير لا تنسى أن تحدث النورتن أو أي مكافحة فيروسات لديك
إلى جانب محاولة تجربة هذه الأداة البسيطة لإزالة رواسب بعض الفيروسات " مرفقات "
w32.Spybot.Worm ممكن حل ؟!
العرض العادي
