السلام عليكم
موضــوعي جاء نتيجة قراءتي بعض مواضيع الأعضاء * القضاء على فايروس autorun *
أردت ان اتقدم ببعـض الملاحظات و بعض المعلومــات المهمة جــدا
فايروس autorun = مصطلح شائع و خاطئ .
أولا: autorun أو بأصح autorun.inf ليس فايروس بل هو خادم الفايروس .
ثانيا : مصطلح فايروس خاطئة و الأصح worm أي دودة .
نظرة عامة على عمــل الدودة و autorun :
الدودة : هي عبارة عن اداة ضارة تكون مبرمجة بأحد لغات البرمجة و أكثر هذه اللغات إستخداما
هي لغة vb--xx-- أحد مشتقات vb .
تنتشر الدودة بنسبة 98% عبر flash disk & الشبكات network
آثارها : كــل دودة عندها آثار معينة و اهداف محددة
لكنهــا تشترك في عدة آثارة نذكر منها :
تعطيل كل من ( إدارة المهم + محرر التسجيل + تعطيل بعض من ملفات أغلبها vbs و exe )
ملاحظة : لا يتم تعطيل ما ذكرت لكنها تقوم بتغيير مسارها
مثلا: لما تحاول فتح إدارة المهام لا تفتح و لكنها غير معطلة * راح أشرحها اكثر فيما بعد * .
أما اهدافها فتكون أغلبها للتخريب يعني درجة خطورتها عالية جدا حيث أن
الإصابة بها = الفورمات أو أحد الخبراء و أقصد بهم ذوي الخبرة و ليس أصحاب شهادات 
.
.
أما الاهداف الأخرى تكون الإختراق العشوائي ..
الإختراق العشوائي : هو أحد أنواع الإختراق و يقصد به انك تخترق دون ان تعرف من هو الضحية
و هي العملية العكسية للإختراق المستهدف * أي تخترق أشخاص معينين* .
و و يتم ذلك بدمج السيرفر * خادم برنامج الإختراق * مع الدودة .
autorun : كما قلنا سابقا و هو عميل للدودة أي يعمل على تشغيل الدودة .....كيف ذلك!!
مثال توضيحي هام : أعطاك صديقك flash disk و طلب منك أن تعطيه بعض الاناشيد 
و كانت flash disk مصابة بأحد انواع الديدان * دودة *
تدخل flash disk في مكانه و تروح جهاز كومبيوتر إضغط دوبل كليك على flash disk
و سترى انه لم يفتح ..!!
تعيد الكرة و لا يفتح إلا إذا دخلت عن طريق كليك يمين قراءة تلقائية أو من أعلى الشريط
و السبب : هو autorun.inf
حيث عند ضغطك مباشرة على flash disk دوبل كليك راح تعمل الدودة في جهازك
لأن autorun يحتوى على أمر يفتح الدودة
مثال : كان إسم الدودة rafik.exe
راح تكون صيغة autorun
ـــــــــــــــ
[autorun]
open =rafik.exe
open =rafik.exe
ـــــــــــــــ
و هكذا حسب إسم الدودة و يمكن ان تختلف الصيغة بتغير الإمتداد ..
تجربة : المتطلبات flash disk + أداة صغيرة او أي ملف يكون بإمتداد exe أو bat أو com
و لتكن أداة صغيرة بإسم startimes2.exe
أفتح المفكرة و انسخ هذا الكود :
[autorun]
open =startimes2.exe
open =startimes2.exe
و احفظه بإسم autorun.inf
أدخل flash disk للجهاز أنسخ الملف الذي أنشأناه + الاداة startimes2.exe
و ألصقهمــا في flash disk
أخرج لفلاش و أعد إدخاله دوبل كليك و لاحظ ماذا يفتح لك ..!!
النتيجة : راح تفتح الأداة startimes2.exe
ملاحظات :
1* الدودة هي المسؤولة عن إنشاء الملف autorun.inf .
2* ضمن أكواد الدودة 3 أكواد لا يمكن الإستغناء عنهم * لا أريد وضع الأكواد لانها مخالفة *
أولا : كود إنتشاء في الأقراص الصلبة .
ثانيا : كود إنتشاء في flash disk .
ثالثا : كود إنتشاء في الشبكة .
3* أفضل الديدان و ليس أخطرها أقصد طريقة عملها و تشفيرها و هي المبرمجة
بلغة vb--xx-- .
4* كــل الديدان تضع قيمة في الروجيستري لبدا عملها مع فتح الجهاز
و يكون في هذا المسار
HKCU\software\Microsoft\Windows\CurrentVersion\run
أو
HKCM\software\Microsoft\Windows\CurrentVersion\run
الفرق الاول في USER و الثاني MACHINE
الآن راح أشرح أهم الاوامر التي تحتويها :
راح اتكلم على الاغلبية و التي تعمل تحت إمرة vb--xx--
كــل الديدان من هذا النوع تقوم بتغييــر أكثر من 100 قيمة في الروجيستري
معنى ذلك ...!!
كما سبقى و قلك على تعطيل إدارة المهام و الكثير من ملفات النظام
هي تقوم بإستخدام الأمر Debugger أي تحويــل من الأمر الفعلي إلى مسار عملها
و الذي هو في أغلب الاحيان يكون في مجلد system32
و تكمن صعوبة إزالة هذه الديدان في إرجاع القيم الأصلية للروجيستري
فكما قلت فهي تغير أكثر من 100 قيمة للروجيستري للعمل لصالحها .
لكــن برامج إصلاح الروجيستري قد تفي بالغرض أحيانا و قد لا تحصي كل القيم المتغيرة بسسب الدودة .
و نصيحة مني و هي للحفاظ على سلامة جهازة و عدم إصابتك بإحدى هذه الدوداة
إفتح المفكرة و أكتب ما يلي :
ـــــــــــ
@echo off
set/p "hhh=>"
for %%a in ( %hhh% ) do (
attrib -s -h %hhh%:\autorun.inf
del /q %hhh%:\autorun.inf
)
cls
ــــــــــ
و أحفضه بأي إسم المهم يكون إمتداد bat
أي ملف دفعي ..
و لما تدخل أي فلاش ديسك للجهاز كليك مرتين راح تطلعلك شاشة دوس فارغة
أدخل إسم لفلاش ديسك مثلا: f أو m و إضغط enter راح ينحذف autorun
من لفلاش ديسك و تضمن سلامت جهازك من الإصابة بيه.
و فـي الاخير أتمنى قد اكون قد وفقت في أعطائكم نظرة اكثر حول autorun .
أي إستفسار أنا جاهــز
0 التعليقات:
إرسال تعليق