الموضوع: معلومات إضافية حول فيروس DCOM RPC

سلام عليكم
هذا الموضوع إمتداد لموضوع الاخ RED_LINE
http://www.swalif.net/softs/showthre...threadid=52979

و في هذا الموضوع بعض المعلومات عن الفيروس و طرق الحماية و هذه المعلومات منقولة من عدة مصادر منها منتدى المشاغب و موقع مصراوي ..

اذا ظهرت لك صورة مثل هذه ..



فالحديث عن فيروس جديد اسمه DCOM RPC أو ما أصبح يعرف بـ "W32.Blaster.Worm ".

وهو يستغل ثغرة في نظام الأمان لويندوز ويستغل البروتوكول المدعو RPC.

المعلومات المتوفرة حاليا عن الفيروس هي كالتالي:
الفيروس بدأ انتشاره منذ ساعات الظهيرة الأولى من يوم الأثنين والذي أخذ ، مؤقتا الأسم : "RPC DCOM", الـ RPC هو أحدى الخدمات المسؤولة عن بعض العمليات والتمهيدات في الأجهزة ويعمل على المنفذ رقم 135. الهجمة هذه التي بدأت مساء اليوم تصيب أحد الثغرات الحساسة لأنظمة ميكروسوفت. ونظام الأكس بي يصل المستخدم والتعريف الأفتراضي للخدمة هذه - RPC - هو : إعادة تشغيل النظام في حالة حدوث فشل في هذا النوع من الخدمة. هذه الخدمة متوفرة فقط في الأنظمة التالية (أنظمة ويندوز): NT, 2000, XP, SERVER 2003 لذلك هذا الفايروس يصيب فقط الأجهزة التي فيها أنظمة التشغيل هذه.
ولهذا الحل الأضافي هو اضافة فايير وول FIREWALL الذي يمكنه حجب هذا المنفذ - 135.
أما عن الأضرار فمؤقتا لا ضرر للفيروس سوى الأزعاج، وإعادة تشغيل الجهاز.

ما العمل؟

إذا لم تصب بالفيروس:

1- قم بتحديث النظام لديك أو حمل تحديث ميكروسوفت لنظامك من هنا:
http://microsoft.com/technet/treevi...in/MS03-026.asp

2- اذا كنت تعمل مع نورتون تجد المشكلة والتحديث لأزالة الفيروس هنا:
http://securityresponse.symantec.co...aster.worm.html


إذا أصاب الفيروس جهازك:

أبحث في جهازك عن ملف يدعى بــ msblast.exe ، وقم بحذفه. إذا لم يتم الحذف أغلق الملف من الــ (Task manager) . أو بمساعدة برامج مثل EndItAll.
يمكنكم تحميله من هنا :

http://safsquad.com/Files/EndItAll2.zip

أغلق الملف وابحث عنه من جديد كي تحذفه.

وهذا التحديث الآخير للنورتون والذي يحوي تحديث ازالة هذا الفيروس:
http://securityresponse.symantec.co...811-019-i32.exe
------------------------------------------------
حل آخر فتاك للفيروس الجديد الذي يعيد التشغيل -

هذا حل جديد لمن لم يتمكن من إزالة الفايروس اللعين:

أدخل لوحة التحكم --------> أدوات إدارية ------> خدمات

تحت الأسم أبحث عن (Remote procedure call RPC)

أنقر عليه بزر الفأر الأيمن -------> خصائص --------> الأسترداد

في "الفشل الأول" و"الفشل الثاني" و"الفشل اللاحق" بدل (إعادة تشغيل الكمبيوتر) بــ " إعادة تشغيل الخدمة".

موافق . أعد تشغيل الجهاز وسينتهي هذا الكابوس المزعج إن شاء الله.

المعلومات الأخيرة حول الفيروس:
بحسب المختصين بأنظمة الحماية - هذا الهجوم للفيروس ما هو إلا المرحلة الأولى، أما في المرحلة الثانية فسيقوم الفيروس بمهاجمة موقع التحديثات التابع لشركة ميكروسوفت بتاريخ 2003/08/16 بحيث يتم إغراق هذا الموقع بالطلبات (من قبل الأجهزة المصابة)، بهجمة واحدة مدبرة، مما يؤدي إلى تعطيله .
والطريف في الأمر أن ميكروسوفت قامت بتاريخ 2003/07/16 بطرح تحديث يعالج المشكلة (من أجرى التحديث قبل تاريخ 2003/08/11 فلا خوف على جهازه).
داخل كود الفيروس (والذي صنفته شركة سيمانتيك بدرجة خطورة 5/4) هناك رسالة لبيل جيتس تقول: " بيل جيتس، كيف تسمح بهذا؟ توقف عن جمع المال وأصلح برنامجك" !!
-----------------------
بما أن الأمور وصلت هذا الحجم وأصبح القاصي والداني يعرف بالقصة والحل، أوورد لكم ، استمرارا للمشاركة،حل شركة سيمانتك والذي أفادني به أحد الأصدقاء مشكورا.

1- حمل الملف التالي:
http://securityresponse.symantec.co...er/FixBlast.exe

2- (مع الشكر لأخي أشرف عبد اللطيف) قبل أن تشغل الملف يجب أن توقف خدمة إستعادة النظام وهى هامة جدا . وهي توقف كالتالي :
لإيقاف خدمة إستعادة النظام --
إبدأ
جهاز الكمبيوتر - إضغط عليه بزر الفأر الأيمن
خصائص
استعادة النظام
ضع علامة على turn off system restor
موافق
ولإستعادة الخدمة نفس الخطوات ولكن إحذف العلامة
وهذه خاصة بويندوز xp

3- شغل الملف الذي حملته.
سيقوم بالبحث عن الفايروس اللعين. فاذا وجده سيقوم بحذفه. وأما اذا لم يحذفه فقم بتشغيل الملف في "الوضع الآمن". بعد أن ينهي البرنامج يعمله سيطالبك بفتح صفحة في متصفحك توصلك إلى موقع تحديثات ويندوز. حمل التحديث الملائم. عندها سيكون كل شيئ على ما يرام.

للتفاصيل زوروا موقع الشركة ومنه أيضا تستطيعون تحميل البرنامج المدعو: FIXBLAST:
http://securityresponse.symantec.co...moval.tool.html

معلومات اخرى عن الفيروس ..

هذا الفيروس (و هو من نوع الدودة ) يصيب أنظمة التشغيل الآتية:
Windows NT 4.0, 2000, 2003, XP

يجب اختيار و تحميل ملف إزالة الفيروس المناسب لنظام التشغيل حتى و لم يكن الجهاز مصابا بالفيروس حتى الآن

للمزيد من المعلومات إضغط هنا:
http://securityresponse.symantec.com...ster.worm.html
http://www.microsoft.com/technet/sec...n/ms03-026.asp

فيما يلي خطوات إزالة الفيروس و تنطبق على جميع أنظمة التشغيل :

1- حاول الدخول على الإنترنت عن طريق نظام تشغيل غير مصاب بالفيروس حتى تتممكن من تنزيل البرنامج

2- قم بتنزيل الملف المناسب لنظام التشغيل الخاص بك

3- احفظ ملف إزالة الفيروس و الملف المناسب لنظامك على قرص مرن

4-أغلق جميع البرامج المفتوحة على الجهاز المصاب قبل بدء تشغيل البرنامج

5-اقطع اتصالك بالإنترنت أو الشبكة الداخلية ، لا بد أن تتأكد أن جهازك مفصول تماما عن الاتصال بأية أجهزة أخرى سواء عن طريق الإنترنت أو عن طريق شبكة كمبيوتر داخلية و ذلك لتجنب حدوث المزيد من انتشار الفيروس

6- إذا كنت تستخدم ويندوز XP ، من فضلك امنع System Restore من العمل كالآتي:

إضغط Start

إفتح My Computer

اختر Properties

إضغط على الجزء الخاص System Restore

اختر المربع الخاص بأمر الإيقاف "Turn off System Restore" أو أمر "Turn off System Restore on all drives"

إضغط Apply

ستظهر رسالة تفيد بأن هذا سيؤدي إلى إزالة جميع Restore Points

إضغط Ok

أعد تشغيل جهاز الكمبيوتر

تحذير: إذا كنت تستخدم ويندوز إكس بي فإننا نوصيك بأن لا تتخطي خطوة استعادة ما يعيق النظام عن العمل ، لأن إزالة البرنامج قد تفشل لو أن نظام الإعادة في الـ ويندوز XP لا يزال موجوداَ. لأن الويندوز في هذه الحالة سيمنع تعديل نظام الإعادة.

7- بعد ان يعمل الجهاز من جديد قم بتشغيل ملف BlastRemovalTool.zip من محرك الأقراص المرنة واجعل البرنامج يبدأ في العمل.

8- اضغط على Start لبدء العملية، ثم اجعل البرنامج يبدأ في العمل.

ملحوظة: في حالة تشغيل البرنامج ستجد رسالة تقول بأنها لم تكن قادرة على إزالة ملف أو أكثر من ملف، فعليك أن تكمل عملية تشغيل البرنامج على جهازك في حالة safe mode. إغلق الجهاز وافصل الكهرباء عنه وانتظر لمدة 30 ثانية، ثم شغل الجهاز مرة أخرى على حالة safe mode ثم إكمال عملية تشغيل البرنامج.

9- بعد ان ينتهي عمل الاداة قم بإعادة تشغيل الجهاز (الجهاز يجب ان يظل معزولا).

10- قم بتشغيل الأداة مرة اخرى للتأكد من أن النظام نظيف.

11- قم بتحميل البرنامج المطلوب و الخاص بنظام التشغيل كي تتنب الجهاز الإصابة مرة أخري.

12- إذا كنت تشغل ويندوز XP اعد تشغيل وظيفة استعادة النظام.

13-اتصل بالإنترنت وقم بتشغيل مضاد الفيروس للحصول علي أخر القدرات الخاصة بالتعرف علي الفيروس.

----------------------------------------------------

بحسب المختصين بأنظمة الحماية - هذا الهجوم للفيروس ما هو إلا المرحلة الأولى، أما في المرحلة الثانية فسيقوم الفيروس بمهاجمة موقع التحديثات التابع لشركة ميكروسوفت بتاريخ 2003/08/16 بحيث يتم إغراق هذا الموقع بالطلبات (من قبل الأجهزة المصابة)، بهجمة واحدة مدبرة، مما يؤدي إلى تعطيله .

حمل التحديثات من موقع اخر :
Windows Xp
http://s4.masrawy.com/BlastWorm/Blast-Patch-winXP.zip
Windows 2000
http://s4.masrawy.com/BlastWorm/Blast-Patch-win2000.zip
Windows NT4
http://s4.masrawy.com/BlastWorm/Blast-Patch-NT4.zip

تحياتي
palnour.com

معلومات عن الثغره المستغله من قبل الفيروس

لكن كيف يدخل هذا الفيروس على الجهاز بمجرد دخول النت؟
اقصد اذا كان الهارد دسك جديد ما فيه غير نظام التشغيل الذي تم تركيبه قبل نصف ساعة من اول دخول للنت؟
يعني منين جاء الفيروس؟
من مزود الخدمة يمكن؟

ما شدني جدا بهذا الموضوع هو امرين الامر الاول ان نظامي 98

والامر الاخر وهو أسلوب الصياغة اللغوية الممتعة من كل من كتب في هذا الموضوع و أحييكم على هذا الأسلوب الذي لطالما افتقدناه .

MR.CGI : اعتقد ان الموضوع شمل كل شيء عن الفيروس ..
zahqan : بمجرد انك تنزل احد هذه الانظمة : Windows Xp و Windows 2000 و Windows NT4 و تدخل على الانترنت سيصاب جهازك بالفيروس ..
beshoo : انت تستخدم ويندوز 98 و انا استخدم ويندوز me ، المعلومات جمعتها من موعين كما اسلفت في اول الموضوع ..

رفع للفائدة