السلام عليكم ورحمة الله وبركاته
تنتشر سريعاً والمملكة أكثر الدول إصابة
دودة Mabezat
تنتقل بسرعة عبر وسائط التخزين الفلاش
لوحظ في الآونة الأخيرة انتشار إحدى الديدان الفيروسية بالمملكة انتشار النار في الهشيم
فمن النادر جداً أن يمر عليك وسيطة فلاش ميموري تخلو من الإصابة بدودة Mabezat
وهذه الدودة التي ظهرت في منتصف يناير الماضي تعد إحدى أعتى وأعنف الفيروسات التي اكتشفت في العام 2008
وليس بمقدور أي نظام حماية التصدي لها ما لم يكن محدثاً التحديث الجيد
والسبب في هذه السلبية أن هذه الأنظمة والبرامج لم يتم متابعة التحديث لها
فقاعدة البيانات فيها قد توقفت عند آخر مرة تلقت فيها التحديث
وبالتالي فأي فيروسات ظهرت بعد ذلك التاريخ ستمر على هذه البرامج بسهولة بل وتوقف عملها بشكل نهائي
لن نطيل وسندخل معكم في صلب هذا التقرير الذي قمت بإعداده بعد الرجوع إلى عدد من المواقع المتخصصة
للتعرف على كيفية عمل هذه الدودة وطرق انتشارها والآثار التدميرية التي تخلفها
الاسم الفني : Mabezat.b
التسميات الأخرى
Worm.Win32.Mabezat. .b - Kaspersky
W32/Mabezat - McAfee
W32.Mabezat.B - Symantec
Worm/Mabezat.b - Avira
W32/Mabezat-B - Sophos
Virus: Win32/Mabezat.B - Microsoft
النوع : دودة فيروسية ( ملوثة ملفات )
الأنظمة المستهدفة : جميع أنظمة ويندوز
الأنظمة المستثناة : ماك - يونيكس - لينكس
سرعة الانتشار : مرتفعة جداً
مستوى الخطورة : مرتفع جداً
الآثار التدميرية : مرتفعة
الدولة الأكثر إصابة : المملكة العربية السعودية ( بحسب تريند مايكرو)
الانتشار
كما أشرنا كانت المملكة الدولة الأكثر تضرراً بالإصابة بهذه الدودة
والتي تنتقل عبر وسائط التخزين المتنقلة .. الفلاش
وهذه الوسيطة إن لم يتم استخدامها بحذر تكون كالعقرب
ولعل ما جعل المملكة أكثر الدول تضرراً هو أن شعبها شعب اجتماعي
ليست لديه أي مشكلة في طلب الإعارة أو المساعدة أو تقديمها لطالبها
كذلك قلة وجود الوعي أو إدارات تقنية واعية قادرة على مواجهة هذه الأخطار
أيضاً من بين أسباب الانتشار قيام بعض المستخدمين بزيارة مواقع مشبوهة
تقوم بزرع برمجيات صغيرة تقوم بتعطيل برامج الحماية
وتنزيل فيروسات وديدان دون أن يحس المستخدم بالخطر
المجلدات المعرضة للإصابة بالعدوى
Program Files \Microsoft Office\OFFICE
Program Files \Microsoft Office\OFFICE10
Program Files \Microsoft Office\OFFICE11
Program Files \Real
Program Files \Windows Media Player
Program Files \winzip
Program Files \winrar
الوقاية
أشرنا إلى أن أحد أسباب الإصابة قلة الوعي .. لذلك من المفترض أن تقوم الإدارات التقنية بعقد دورات توعوية بالأخطار التي تواجه مستخدمي أنظمة المعلومات ولو على مستوى الإدارة عن طريق المشرفين التقنيين وتعريفهم بسبل الوقاية والعلاج .. مع التنبيه على ضرورة أخذ نسخة احتياطية من البيانات المهمة
كذلك من بين سبل الوقاية تركيب برامج حماية ذات كفاءة عالية لتصبح قادرة على مواجهة أي أخطار محتملة .. ويمكن الاستعانة ببرنامج Kaspersky الذي يعد أحد أقوى برامج الحماية ( إذا تمت متابعة تحديثه باستمرار ) .. وللمستخدمين المنزليين هناك برنامج Avira AntiVir PersonalEdition Classic وهو إصدار مجاني للاستخدام الشخصي يمكن الحصول عليه من موقع إفيرا على الإنترنت : www.free-av.com (http://www.free-av.com/)
كذلك إزالة أي ملفات تحت مسمى autorun.inf في وسائط التخزين القابلة للإزالة المعروفة بالفلاش ميموري .. لأن هذه الملفات تصنعها بعض الفيروسات لتعمل ( بشكل سري وتلقائي ) بمجرد فتح وسيطة التخزين دون أن يشعر المستخدم بشيء

وسيلة الكشف
إذا وجدت أنك قد فتحت مجلداَ من المجلدات فوجدت أن داخل المجلد ملفاً تنفيذياً exe
يشبه اسم المجلد أو أحد محتويات المجلد ( كما يظهر في الصورة )
فهذا يعني أن جهازك قد أصيب بهذه الدودة أو دودة مثلها
منقول للفائدة

بارك الله فيك على النقل الموفق .....

معلومات مهمه ..

كتب الله أجركم ..

بارك الله فيك على المعلومة

ياالله طيب كيف نحاربها؟ هل من التسميات الاخرى؟

جزاكم الله خيرا
بالنسبة للتخلص من هذا الفيروس فقد وجدت برنامج يقوم بإزالته
وضعه بعض الأخوة في احد المنتديات وسأضعه لكم في رد آخر بعد هذا الرد

وان شاء الله يزول معكم وأيضا برنامج AntiVir PersonalEdition Classic
أيضا مفيد لإزالة الفيروسات جربوه وهي نسخة مجانية لكن بشراء هذه النسخة
ففيها مميزات اكثر لحذف الفيروسات من المجانية ..حملوه من هذا الموقع
www.free-av.com (http://www.free-av.com/)

تابعوا الرد التالي لهذا الفيروس ...

أداة صغيرة وبسيطة تقضي على معظم الفايروسات المنتشرة حديثا مع إصلاح بعض المشاكل التي تواجه المستخدمين مثل مشكلة إصلاح خيار إظهار الملفات المخفية.


أولاً

الفايروسات التي تقوم الاداة بالتخلص منها

Fujacks.A + AN : nvscv32.exe - game.exe - spoclsv.exe + الانتشار بملفات التطبيقات
W32.Bah.A : shell.exe - 425D8586.exe - 425D8586.dll
W32.Chines.A : host.exe - copy.exe - temp2.exe - temp1.exe - svchost.exe - xcopy.exe
W32.Chi.VB: autorun.bat - autorun.reg - autorun.vbs - autorun.exe - autorun.inf
W32.CTC.A : ctfmon.exe
W32.Hec.A : Desktop.exe - services.exe - snddrv.exe
W32.Risk.A : Nodfix.exe - driveinfo.exe - driveinfo.log - inetsrv.exe
Trojan.Kpass.A: sxs.exe - svohost.exe
W32.QQPass.A: tweojd.exe - tweojd.dll - sxs.exe
W32.Rose.A : rose.exe - systemfile.com
Trojan.Shipli: ldup.exe - infrom.exe
W32.SillyFDC : autorun.exe - wincfgs.exe - kb20060111.exe
W32.Sqchi.A : copy.exe - sqlserv.exe
W32.Agent.FYS: INFO.exe - U.exe - svchost.exe - _u_.exe
w32.Brontok|10 : cmd-brontok.exe - cmd-bro-nlx.exe - RakyatKelaparan.exe - bbm-urnmpijc.exe
KesenjanganSosial.exe - At*.job - embty.pif - rvhost.exe
Delfa.cc: (rnd).exe - (rnd).chm - (rnd).hlp
w32.fooool.A: explorer.exe - fooool.exe
w32.VB.CXI: boot.exe - lsass.exe - new folder.exe
w32.VB.X.A: algssl.exe - msfir80.exe - msime80.exe - sal.xls.exe
W32.Rays.|4: mstray.exe - runcomment.htt - runwinfile.exe - winfile.exe
Vbs.zodgila: MS32DLL.dll.vbs
W32.Ahost.A: antihost.exe - ahr.exe
W32.ILAS|14: scvhsot.exe + recycler.exe + scvhost.exe - sscviihost.exe - SCVVHSOT.exe - SSVICHOSST.exe - hinhem.scr - scvhosts.exe - blastclnnn.exe - nhatquanglan18.exe -scvshosts.exe
W32.VB.CJM : rundll.exe
W32.AdobeR : adober.exe - Ravmonlog
W32.Autorun.FT: jtrwonw.exe + lvblkbg.exe + meex.com + wuksftu.exe
W32.Dmal.A : Folder.exe - Explorer.exe
W32.PSW.Agent.dn|2 : utdetect.com - netde1ect.com - avpo.exe - avpo1.dll
W32.VB.X.B : msime82.exe - fun.xls.exe- msfun80.exe -algsrvs.exe
W32.P2P.VBT|3 :KB915865.exe + الانتشار بملفات التطبيقات
W32.VB.BS|2 : ( blue star ) bs.pif + scvhost.exe + new.exe + 4sv.exe
W32.Agent.dex :1_.ii + logogo.exe + setup.exe + + الانتشار بملفات التطبيقات
W32.VB.X.C: SocksA.exe + FileKan.exe + algsrv.exe + tel.xls.exe
W32.autorun.Fs|15: qbbtqcy.exe + hasybbc.exe + owlstxm.exe + upepfkf.exe + ihpivoo.exe + bdirkbi.exe + durjgxr.exe + umrsoux.exe + dlkphjj.inf + ssecbjf.exe + fdvwykv.exe + suambvm.exe + vwusefs.inf + eqrdrnr.exe + websrdu.exe + apgefvc.exe + gsvlnlo.inf + nluoyvq.exe + adgiygu.exe + bihwyym.exe + npsliqr.inf + jiejgvo.exe + kongxsg.exe + nqecmus.exe + lnnvkiq.exe + egrrgdk.inf + ipilrws.exe + cyvvfew.exe - ebvldhc.exe - hyxqhgh.exe - glwmjee.exe - lfkxaor.exe - ekrdjmc.exe - jqjdsat.exe
irxjett.exe - jvouiko.exe - salbhfd.exe - irxjett.exe -ounddyh.exe - ivsgiih.exe - cjqqsol.exe - jmemavf.inf |+ gmsrrbr.exe + meex.exe + haubomi.exe + wbmooxd.inf + rlatebp.exe + wbmooxd.inf + juovibw.exe + btutjwt.exe + bdjbeku.inf + rhrejgq.exe + jvouiko.inf + boxovqw.exe + jvouiko.inf + nsnjair.exe
W32.Agent.abt : svchost.exe + mdm.exe + ravmon.exe + svchost.ini
W32.PSW.OnLineGames|94*:
f6cavn.bat + 6x8be16.cmd + r6r.exe + x6.bat + rgjkmy3p.exe + v.exe + e.cmd + jjcx.com + m88coaim.exe + qa8sywva.cmd + tfk8.exe + v.bat + xlu8a8sy.exe + invwft2h.com + h0s2.bat + 6x8be16.cmd + v.exe + 0n.bat + 18qur.exe + d.cmd + g83816.com + igxv.cmd + lkxcqdb.bat+jfvkcsy.bat + oq.cmd + tknn6.bat + gjn2pjlw.exe + 1weicxa.com + xpbkh.com + aub0wb8.cmd + cb.bat+ rthrw.com + h1dwg20.exe + h6o0re.cmd + i.exe + 188qsm.bat + n2de.cmd + uisvkqr.exe + ekugb3.bat + cfdflx.com + b.com + d6fagcs8.cmd + 8ng8w.com + v.com + u2.cmd + x6.bat + y82td3td.com + a3g3.bat + fppg1.exe + gumkrhf.bat + oufddh.exe + 3wcxx91.cmd + 0hct8ybw.bat + uxdeiect.com + i.cmd + h.cmd + 2ifetri.cmd + xn1i9x.com + dosocom.com + 1ce.cmd + zxavpw0.dll + u.bat + awda2.exe - ylr.exe - xo8wr9.exe - m1t8ta.com - tio8x6.cmd + 80avp08.com + amvo.exe + amvo0.dll + nideiect.com + xfoolavp.com + semo2x.exe + d.com + usdeiect.com + qd.cmd + juok3st.bat + t.com + 6.bat + xyw9tmdj.com + jiwsxh39.exe + f.exe + mvxm.cmd + ino6.com + v.cmd + pa39xth.cmd
W32.PSW.OnLineGames.B|1:Kavo.exe + kavo0.dll + h2.com
W32.Rbot.cqi : Random File name
W32.Agent.ahj|7: auto.exe + random file name
W32.Autorun.Abt|3 .rar:xmss.exe + Funny UST Scandal.avi.exe + Funny UST Scandal.exe + smss.exe + lsass.exe + killer.exe
W32.QQPass.aom:winsn.exe + shovth.exe + trayicons.exe + winsos.exe + windisk.dll
W32.autorun.aj : KB915865.exe
W32.VB.bgo: sysrun.exe + m.dll + srv32
W32.Agent.cyt: Regscan.exe
W32.AutoRun.cb|3:isass.exe - sys.exe - ComSys.dll - killall.bat
W32.VB.cz:smss.exe + data username + system.exe + lsass.exe + random file name.scr + new folder.scr + moonlight + winlogon.exe + syscon.sys
Antvrs.Ad:Antvrs.exe
W32.AHKHeap.A|2: MicrosoftPowerPoint.exe + 2.mp3 + svchost.exe + script1.txt
Win32.Agent..rar: Random file name
W32.Shodi.A: إنتشار في ملفات التطبيقات
Backdoor.Irc.ranm:b.exe + setup.exe + vbzip10.dll + taskmgr.exe
VBS.Runauto.B|2: .vbs + .vbe
W32.Disabler.I: flashy.exe + SystemID.pif
W32.autoit.cm: info.bat + logoneui.exe + Jojo.exe + Akon.exe + connection.dat
W32.Delf.dw: smss.exe + lsass.exe + svchost.exe + ***y Girls.scr + username_Fichiers.exe
Trojan.Downloader.Fraudload.Ai:braviax.exe
W32.Autorun.Ao:Knight.exe
Trojan.Agent.AHFS:qnep.exe
Backdoor.IRCBot.bza:spool21.exe
w32.Xorer.euagefile.exe + pagefile.inf + lsass.exe + smss.exe + dnsq.dll + netcfg.dll + netcfg.000 + randomfiles.log
W32.PSW.OnlineGame.GEN|3:AVPSrv.exE + LotusHlp.exe + PTSShell.exe + PTSShell.dll + LotusHlp.dll + AVPSrv.dll
W32.Agent.aec:soundmix.exe + zipexr.dll
W32.AutoRun.pz:system.com + taskmger.com
W32.Autorun.Czg|3:ise.exe + isei.exe + ise32.exe
W32.Autorun.nseminf.exe + oeminfo.exe + rmv.exe + system_v.exe
PSWTool.W32.YahooDump.A:NTDETECT.exe + UpDateWinc.exe + UpDateWind.exe
W32.Fujack.Al:Ctfmont.exe + setup.exe + gamesetup.exe
W32.VB.CK:lsass.exe + msconfig.exe + New Folder.exe
W32.delf.bfu:OnlO0r.dll + OnlO0r.obk + OnlO0r.bak + Windows.scr
W32.OnLineGames.abas:WSockDrv32.exe + WSockDrv32.dll
W32.OnLineGames.acjm:svchost.exe + pcap Lib
W32.OnLineGames.abxc:huifitc.exe + huifitc.dll
W32.OnLineGames.abtl:lwsxwxtd.exe + wzyszplx.dll
W32.OnLineGames.abtq:fiosectc.exe + fiosectc.dll
W32.OnLineGames.achu:icisms.exe + ticisms.dll
W32.QQPass.brl:Nt_Sys32.Sys + Nt_Win32.Jmp
W32.OnLineGames.acch:anistio.exe + anistio.dll
W32.Onlinegames.Abud:dndsioc.exe + dndsioc.dll
VBS.Generic|3:killvbs.vbs + msvcr71.dll + nar.vbs
W32.delf.bfu:OnlO0r.dll + OnlO0r.obk + OnlO0r.bak + Windows.scr
W32.Agent.mee: MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe + WINDOWS\system32\inetsrv\lsass.exe
W32.Mobezat.B:Zpharaoh.exe + tazebama.dll + hook.dll
W32.AutoRun.dmh:isi32.exe
W32.Autorun.Ads|1:com.exe + mk.reg + jac.bat
W32.Downloader.Zloblgdqarf.exe + vadokmxt.dll + wdpoefan.dll + wxvgsdbq.exe
VirusIsolator:VirusIsolator.exe
W32.PSWOnLineGames.AO: kxvo.exe + fool0.dll + ieso0.dll
W32.Agent.mnm : auto2.pif + mywork.exe + msvcrt.ax + igfxtray.exe
W32.vb.rd|2 :services.exe
W32.autoit.i:system.exe + msmsgs.exe + bad1.exe + bad2.exe + bad3.exe + bad4.exe + bad5.exe
W32.Delf.vb:OSO.exe + hx1.bat + severe.exe + tssrhe.dll + tssrhe.exe + conime.exe + akouow.exe + random file name
w32.Hupigon.1:svchcst.exe + _svchcst.exe
W32.VB.cp: ffolder.exe + explore.exe
W32.Pakes.cfj|4: dat.exe + RECYCLER.exe + final.exe
W32.Proagent.a :qservice.exe + agnt_msn.exe + agnt_fps.exe + agnt_mps.exe + keensense.sys + ksdevice.sys + htmp1.html + HookMpi.dll + k_urlmon.dll + kurlmon.dll + services.dll
W32.VB.AOL:Windows Explorer.exe + new folder.exe + Top Pictures.exe
W32.Downloader.gen|3:uyrevd.exe + liiuo.exe + dqlvx.exe + csrwdd.dll + csrwdd.exe + csrwdd.nls
W32.VB.agg:Start.exe + lsass.exe
W32.Stealer.o:random file name.exe
W32.LdPinch.vvi:svchost.exe


ثانياً

طريقة استخدام الأداة ومميزاتها

لا تحتاج للفحص بالأداة العامة إلا لضغط الزر Start و بعد ذلك سيتم فحص الحاسب بسرعة كبيرة جدا و سيتم إعلامك بالنتيجة فورا .

الخيار Manual deep scan :

يقوم هذا الخيار بفحص ملفات الإصابة من أنواع معينة تنتشر في الحاسب أو تصيب ملفات التطبيقات و سيكون الفحص العادي دون استخدام هذا الخيار
كافيا في حين أن الفحص العادي سيقوم باستخدام هذا الخيار بشكل أوتوماتيكي فورا عندما تدعو الحاجة لذلك و إذا تبين أن الحاسب مصاب بهذا النوع من الفيروسات.

الخيار Auto fix registry problems :

إصلاح خيار إظهار الملفات المخفية
إعادة إظهار مدير المهام
إصلاح امر موجه الأوامر
إعادة إظهار خيارات المجلد
إصلاح أمر محرر تسجيلات النظام
إصلاح الإقلاع من الوضع الآمن


الحماية الأوتوماتيكة Auto scan mode :

يقوم هذا الخيار بفحص أي قرص قابل للإزالة يتم توصيله بالحاسب و في حين تم العثور على ملف إصابة سيتم إزالة هذا الملف فورا و بشكل أوتوماتيكي .

الحماية بالمرحلة الثانية L2 :

يقوم الخيار l2 في الأداة العامة بفحص جميع الأقراص القابلة للإزالة التي يتم توصيلها بالحاسب و إيقاف أي نوع من الملفات التي تعمل فورا مع
فتح القرص سواء كان هذا الملف ملف إصابة معروف أو ملف إصابة جديد أو لم يكن ملف إصابة أصلا و ستظهر رسالة تنبيه تفيد بسؤال المستخدم عن إذن بتغير اسم
الملف إلى اسم جديد يضاف إليه كلمة bak و في حين كان هذا الملف هاما للمستخدم فكل ماعليه عمله لاستعادته هو حذف الكلمة bak من آخر إسمه .
المهم دائما الانتظار لمدة 5 ثوان تقريبا قبل محاولة فتح القرص القابلة للإزالة و التنبه لأية رسالة تظهر على الشاشة .


ثالثاً

رابط تحميل الأداة
http://http://moshakes130.googlepages.com/General_Removal.rar

حجم الأداة

576kb

لنتيجة افضل شغّل الأداة من وضع الأمان ( safe mode)


وفي الختام

::::::::::::::منقول للفائدة:::::::::::::::


جزى الله الأخ الفاضل يمان الروّاس على هذه الأداة الرائعة
وجعلها الله في ميزان حسناته
ووفقه الله لما يحبه ويرضاه

اعتذر اخوتي على ظهور الوجوه