[align=right]
أو I-Worm.Netsky.q أو ZIP.Netsky.P
ينتشر هذا الفيروس وهو من نوع الدودة Worm عن طريق البريد الإلكتروني من خلال ملف ملحق بالرسالة أو عن طريق برامج تبادل الملفات التي يستخدمها عدد كبير من المتعاملين مع شبكة الإنترنت في إنزال ملفات الأغاني والموسيقي مثل برنامج KaZaA أو Murphy وغيرهما.
يتم تنشيط الفيروس عن طريق ملف تنفيذي Executable مضغوط حجمه حوالي 30 كيلوبايت وهذا البرنامج يقوم عند تشغيله بإنشاء ملف من نوع DLL وهو الذي يحتوي علي الفيروس.
كما هو الحال مع معظم الفيروسات من نوع الدودة فإنها تقوم بتعديل ملفات نظام التشغيل Registry File لكي يتم تشغيل الفيروس في كل مرة نقوم فيها بتشغيل الحاسب.
الانتشار عبر البريد الإلكتروني :
يحتوي الفيروس علي محرك من نوع SMTP الذي يستطيع أن يرسل الرسائل الإلكترونية دون الحاجة الي مساعدة من موقع خارجي. يقرأ الفيروس الرسائل التي توجد في صندوق البريد Inbox ويخزن عناوين البريد الإلكتروني التي توجد في خانة From: بالرسائل التي توجد في الصندوق. بعد ذلك يرسل الفيروس نسخة منه الي عناوين البريد الإلكتروني التي قام بتجميعها ويكون شكل الرسالة كالتالي :
(أمثله) Subject :
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
(أمثله) Body :
For more details see the attachment.
For further details see the attachment.
Your requested mail has been attached.
ينتهي جسم الرسالة بالأسطر التالية لكي توحي بأن الرسالة قد تم اختبارها بأحد برامج مقاومة الفيروسات ووجدها نظيفة بدون أي فيروس.
+++ Attachment: No Virus found
+++ Message Labs AntiVirus -
www.messagelabs.com
أما اسم الملف الملحق Attachment فقد يكون:
Message.scr
msg.exe
details.pif
document.txt
readme.rtf
الانتشار عبر برامج تبادل الملفات :
كما ينظر الفيروس الي صندوق البريد الإلكتروني لكي يجمع منه عناوين البريد التي سوف يرسل نسخه منه إليها يقوم أيضا بالبحث عن المجلدات التي يسمح للمستخدمين الآخرين بالدخول عليها للحصول علي ملفات منها. ويقوم الفيروس بوضع نفسه داخل هذه المجلدات بأسماء تغري المستخدمين علي إنزال هذا الملف علي حاسباتهم مثل :
Opera 11.exe
DivX 8.0 final.exe
WinAmp 13 full.exe
Cracks & Warez Archiv.exe
Visual Studio Net Crack all.exe
آثار هذا الفيروس : يقوم الفيروس بإجراء تغيرات في ملفات نظام التشغيل قد تصل الي إضافة أكثر من عشرين أمرا جديدا بها. كما يقوم بإلغاء بعض الأوامر من ملفات النظام مسئوله عن تشغيل بعض البرامج الهامة مثل :
HKEY_LOCAL_MACHINE Software Microsoft Windows
Current Version Run
Explorer
system.
msgvr32
winupd.exe
direct.exe
jijbl
video
service
DELETE ME
Sentry
Taskmon
Windows Services Host
الوقاية والعلاج:
الفيروس يستهدف ثغره أمنية في برنامج Outlook Express للبريد الإلكتروني تتيح تشغيل ملف ملحق بالرسالة أوتوماتيكيا دون أن يقوم المستخدم بهذه العملية وذلك بمجرد مشاهدة Preview الرسالة.
يمكن إنزال البرنامج الذي يعالج هذه الثغرة الأمنية من علي موقع شركة مايكروسوفت التالي:
http://www.microsoft.com/technet/sec.../MS01-020.mspx
يمكنك الحصول علي البرنامج الذي يقوم بالتعرف علي الفيروس وإلغاءه Fix Netsky من الرابط التالي
http://www.latef.net/hemaea/CurFile_29.exe [/center]
