الشداني
20-08-2001, 04:02 AM
فيروسW32.Sircam أهملته الشركات
عند ظهوره ودفعت مع المستخدمين الثمن
الرياض@ نت: حمد البدراني
* لايزال فيروس
W32.Sircam.worm الذي ظهر منذ 17 يوليو الماضي يتربع على صدارة أخطر 10 فيروسات حاسوبية نظرا لانتشاره السريع عن طريق استخدامه لثغرة أمنية قديمة في برنامج البريد الالكتروني Outlook من شركة مايكروسوفت الامريكية ليقوم بارسال نسخا منه الى المسجلين في قائمة العناوين البريدية في البرنامج Address Book مما يعمل على انتشاره بسرعة فائقة.
ويبدأ الفيروس عمله فور فتح المتلقي ملفا ملحقا Attachment ليقوم بدورته الجديدة في النفاذ الى النظام وتسجيله فيه ومن ثم يقوم الفيروس بارسال نسخا منه الى المستخدمين الآخرين وهكذا.
ويعلق عدد من الخبراء الأمنيين في تقارير نشرت على شبكة الانترنت أن هذا الفيروس قد كان سريع الانتشار لدرجة أن الشركات الامنية لم تقم بتجهيز بريمج لمكافحته Patch الا بعد اكتشافه بتسعة أيام وهو مايفسر انه لم يكن مصنفا منذ اكتشافه لأول مرة إلا كفيروس قليل الخطورة ليصنف عقب ذلك بعدة أيام كاعلى درجات الخطورة بسبب كثرة الشكاوى من ظهوره لدى المستخدمين سواء في القطاعات التجارية أو الحكومية.
عشوائية قاتلة
وتؤكد الرياض @ نت ان الفيروس قد انتشر بشكل كبير لدى بعض القطاعات الحكومية والخاصة في المملكة وبعض دول الخليج والمنطقة العربية كما هو الحال في دول العالم الأخرى ووردت الى موقع صحيفة الرياض ومواقعها الأخرى عشرات الرسائل البريدية المصابة بهذا الفيروس الخطير.
ولعل مايفزع في هذا الفيروس انه يعتمد على ارسال الرسائل العشوائية الى المستخدمين المسجلين لدى مستخدمين اخرين في دفتر العناوين البريدية الخاص بهم وهو مايفسر سرعة انتشاره الكبير لدى المستخدمين في مختلف انحاء العالم.
واتفقت اراء الكثير من الخبراء الأمنيين على شبكة الانترنت في تقارير وتحليلات مختلفة على ان ذلك الفيروس ما كان لينتشر بهذه السرعة لو كانت الشركات الامنية المتخصصة في مكافحة الفيروسات قد اصدرت رقعا برمجية patch لمكافحته مشيرين الى ان انتشاره الكبير والسريع جعل تلك الشركات تعمل على اعادة تقييم الفيروس المكتوب بلغة الدلفي واصدار بريمجات مساعدة لحله.
تغير الاختصارات
ويقوم الفيروس فور تشغيله في جهاز أي مستخدم عن طريق فتح الملف المرفق والذي يكون في العادة ملفا تنفيذيا مثل ملفاتLNK او EXE او bat وفي نفس الوقت يقوم بالكتابة فوق بعض الملفات الموجودة في مجلد my documents سواء اكانت ملفات نصية او ملفات وورد او حتى صورا ليقوم بالكتابة فوقها وبنفس العناوين.
وسيلاحظ المتلقي لتلك الرسائل البريدية ان امتداد ملفات مثل الوورد هو كالتالي doc.bat وليس doc كما هو معتاد وفي حالة تشغيل الفيروس عن طريق فتح الملف المرفق سيجد المستخدم ان الاختصارات الموجودة في جهازه للبرامج قد اصابها خلل ما او قد يجد ان مسارات البرامج والملفات قد تغيرت والاخطر هنا هو عدم التمكن من تشغيل برنامج محرر النظام Registry Editor وهي قد تكون اولى المشاكل التي يمكن ان تعترض المستخدم في حالة اصابة جهازه ولحل ذلك ان تعثر تشغيل البرنامج عن طريق كتابة امر regedit في حقل التشغيل run فانه يجب عليه ان يتوجه الى محث الدوس start/programs/MS-DOS Prompt في داخل الويندوز وكتابة الامر التالي لتغيير مسمى محرر النظام وهو rename regedit.exe regedit.com مع ملاحظة المسافة بينهما.كما يقوم الفيروس بكتابة نفسه في سجل النظام Registry Editor وفي ملف تحميل موارد النظام Autoexec.bat .
الغاء الفيروس
ويمكن الغاء الفيروس بطريقتين الأولى يدوية وهي التي تتطلب معرفة من قبل المستخدم ببعض الأوامر البرمجية ومعرفة جيدة بالنقاط الحساسة في النظام والطريقة الاتوماتيكية وهي الاسلم خاصة لقليلي الخبرة بملفات الويندوز ومجلداته.
وسنذكر هنا الطريقتين لمساعدة المستخدمين الذين اصيبت اجهزتهم بالمشكلة. فبالطريقة الاتوماتيكية يمكن حذف الملفات المتضررة والتي قام الفيروس بالكتابة فوقها والغائها واصلاح ملف تسجيل النظام واعادة النظام الى سابق عهده عن طريق تنزيل رقعة برمجية Patch من موقع شركة تريند مايكرو http://www.antivirus.com/vinfo/security/fix_sircam.reg لاصلاح المشاكل الناجمة عن الاضرار التي لحقت بملفات تسجيل النظام وهذه الرقعة البرمجية هي fix_sircam.reg وايضا تنزيل رقعة برمجية اخرى وهي الاهم عن طريق الوصلة التالية http://www.antivirus.com/vinfo/security/fix_sircam.com ووظيفتها هي فحص النظام والقيام بمسحه لالغاء الفيروس منه نهائيا واسمها fix_sircam.com. او تنزيل الرقعة البرمجية من الموقع التالي http://www.sarc.com/avcenter/FixSirc.com .كما ستجد في الصفحة التالية قائمة باخطر الفيروسات المنتشرة الحالية ومن بينها فيروس W32.Sircam يمكنك الوصول اليها من الصفحة التالية http://www.symantec.com/avcenter/tools.list.html
كما ان مواقع اخرى مثل نورتون http://www.norton.com ومكافي mcafee.com وغيرهما من الشركات المتخصصة في الحماية من الفيروسات قد قامت بنشر معلومات محددة ورقعا برمجية وتحديثا لقاعدة البيانات الخاصة ببرامجها لالغاء الفيروس والقضاء عليه بشكل نهائي.
الطريقة اليدوية
ويمكن للمستخدمين الذين لديهم خبرة بحل مشاكل النظام المختلفة تجربة الغاء البرنامج بالطريقة اليدوية ولكن يجب التاكيد ان المستخدم هنا سيتعامل مع ملفات وبرامج غاية في الحساسية قد يمكن تغييرها او تعديلها التسبب في تعطل النظام كلية وعدم عمله بكفاءة. ويمكن الوصول الى الفيروس القابع في ملف تسجيل النظام عن طريق الذهاب الى start/run ثم كتابة امر regedit وستعثر على الفيروس في حال وجوده في المفتاح البرمجي التالي HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
وفي الجانب الايمن ستعثر على ملف اسمه Driver32 كما ستعثر عليه في الجانب الايسر من مجلدات تسجيل النظام تحت المفتاح التالي HKLM\Software\SirCam وما عليك في كلا الحالتين الا الغاء تلك المفاتيح الخاصة به ومتابعة البحث في المفتاح التالي HKCR\exefile\shell\open\command والتدقيق في الجانب الايمن للعثور على المعادلة التالية C:\Recycled\SirC32.exe%1%* ويجب هنا تعديلها لتكون كالتالي "1%" ومن ثم اغلاق محرر سجل النظام.
ولالغاء الفيروس بشكل نهائي ماعليك الان الى التوجه عبر محرر الدوس لكتابة الامر التالي من C: وليس من الويندوز كما في الامر السابق ويمكن التحول فقط عن طريق كتابة امر التحول CD.. للوصول الى المؤشر C:\>يكون الامر كالتالي c:\edit autoexec.bat مع ملاحظة المسافة بين edit و autoexec.bat وستجد سطرا او عدة اسطر برمجية تحتوي على المعادلة التالية
(@win\recycled\Sirc32.exe) وما عليك الا الغاء ذلك السطر أو الأسطر نهائيا ومن ثم حفظ التغييرات.
ولمن حالفة الحظ ولم يصاب جهازه بعد بهذا الفيروس الخطير فما عليه الآن الا تحديث برنامج الحماية المثبت في جهازه عن طريق طلب تحديث البرنامج Update Now.
المواقع البريدية خطرة
وبقي أن نشير هنا الى أن معظم المواقع البريدية المجانية وحتى البريد المقدم من مقدمي الخدمة في داخل وخارج المملكة لاتزال تتلقى مئات الآلاف من الرسائل البريدية المصابة بهذا الفيروس فعلى سبيال المثال لايزال موقعا yahoo.com وhotmail.com يتلقيان الى ساعة اعداد هذا التقرير آلاف الرسائل المصابة بهذا الفيروس ولايمكنها حتى الآن ايقاف ذلك السيل من الرسائل مع وجود برامج حماية مستخدمة لديها ولذلك يجب على المستخدمين عدم الانخداع بمدى الأمان في تلك المواقع وعدم فتح اية رسالة جديدة وخاصة تلك التي تحمل ملفات ملحقة من البريد المجاني أو المدفوع الا بعد فحصها سواء من الموقع أو تنزيلها على جهاز المستخدم ومن ثم فحصها بالبرنامج الموجود لديه.
الغاء محتويات القرص الصلب
وينبغي التنبيه هنا الى أن الفيروس يقوم في حالة وجوده في جهاز أي مستخدم بتاريخ 16 اكتوبر بالغاء محتويات القرص الصلب في حالة عدم الغائه والتخلص منه نهائيا لذلك يجب الحذر من هذا الفيروس والعمل على تحصين الأجهزه منه.
وتقوم فكرة الفيروس الذي يعد من نوع الدودة الفيروسية Worm بالانتشار السريع والعشوائي والعمل على اغراق الاجهزة البريدية الخادمة Mail Server بآلاف وملايين الرسائل المهملة مما يؤدي الى شلها اوتعطيلها مؤقتا اضافة الى الحاق الاذاء بمستخدمي الانترنت الذين ستصاب أجهزتهم بها.
عند ظهوره ودفعت مع المستخدمين الثمن
الرياض@ نت: حمد البدراني
* لايزال فيروس
W32.Sircam.worm الذي ظهر منذ 17 يوليو الماضي يتربع على صدارة أخطر 10 فيروسات حاسوبية نظرا لانتشاره السريع عن طريق استخدامه لثغرة أمنية قديمة في برنامج البريد الالكتروني Outlook من شركة مايكروسوفت الامريكية ليقوم بارسال نسخا منه الى المسجلين في قائمة العناوين البريدية في البرنامج Address Book مما يعمل على انتشاره بسرعة فائقة.
ويبدأ الفيروس عمله فور فتح المتلقي ملفا ملحقا Attachment ليقوم بدورته الجديدة في النفاذ الى النظام وتسجيله فيه ومن ثم يقوم الفيروس بارسال نسخا منه الى المستخدمين الآخرين وهكذا.
ويعلق عدد من الخبراء الأمنيين في تقارير نشرت على شبكة الانترنت أن هذا الفيروس قد كان سريع الانتشار لدرجة أن الشركات الامنية لم تقم بتجهيز بريمج لمكافحته Patch الا بعد اكتشافه بتسعة أيام وهو مايفسر انه لم يكن مصنفا منذ اكتشافه لأول مرة إلا كفيروس قليل الخطورة ليصنف عقب ذلك بعدة أيام كاعلى درجات الخطورة بسبب كثرة الشكاوى من ظهوره لدى المستخدمين سواء في القطاعات التجارية أو الحكومية.
عشوائية قاتلة
وتؤكد الرياض @ نت ان الفيروس قد انتشر بشكل كبير لدى بعض القطاعات الحكومية والخاصة في المملكة وبعض دول الخليج والمنطقة العربية كما هو الحال في دول العالم الأخرى ووردت الى موقع صحيفة الرياض ومواقعها الأخرى عشرات الرسائل البريدية المصابة بهذا الفيروس الخطير.
ولعل مايفزع في هذا الفيروس انه يعتمد على ارسال الرسائل العشوائية الى المستخدمين المسجلين لدى مستخدمين اخرين في دفتر العناوين البريدية الخاص بهم وهو مايفسر سرعة انتشاره الكبير لدى المستخدمين في مختلف انحاء العالم.
واتفقت اراء الكثير من الخبراء الأمنيين على شبكة الانترنت في تقارير وتحليلات مختلفة على ان ذلك الفيروس ما كان لينتشر بهذه السرعة لو كانت الشركات الامنية المتخصصة في مكافحة الفيروسات قد اصدرت رقعا برمجية patch لمكافحته مشيرين الى ان انتشاره الكبير والسريع جعل تلك الشركات تعمل على اعادة تقييم الفيروس المكتوب بلغة الدلفي واصدار بريمجات مساعدة لحله.
تغير الاختصارات
ويقوم الفيروس فور تشغيله في جهاز أي مستخدم عن طريق فتح الملف المرفق والذي يكون في العادة ملفا تنفيذيا مثل ملفاتLNK او EXE او bat وفي نفس الوقت يقوم بالكتابة فوق بعض الملفات الموجودة في مجلد my documents سواء اكانت ملفات نصية او ملفات وورد او حتى صورا ليقوم بالكتابة فوقها وبنفس العناوين.
وسيلاحظ المتلقي لتلك الرسائل البريدية ان امتداد ملفات مثل الوورد هو كالتالي doc.bat وليس doc كما هو معتاد وفي حالة تشغيل الفيروس عن طريق فتح الملف المرفق سيجد المستخدم ان الاختصارات الموجودة في جهازه للبرامج قد اصابها خلل ما او قد يجد ان مسارات البرامج والملفات قد تغيرت والاخطر هنا هو عدم التمكن من تشغيل برنامج محرر النظام Registry Editor وهي قد تكون اولى المشاكل التي يمكن ان تعترض المستخدم في حالة اصابة جهازه ولحل ذلك ان تعثر تشغيل البرنامج عن طريق كتابة امر regedit في حقل التشغيل run فانه يجب عليه ان يتوجه الى محث الدوس start/programs/MS-DOS Prompt في داخل الويندوز وكتابة الامر التالي لتغيير مسمى محرر النظام وهو rename regedit.exe regedit.com مع ملاحظة المسافة بينهما.كما يقوم الفيروس بكتابة نفسه في سجل النظام Registry Editor وفي ملف تحميل موارد النظام Autoexec.bat .
الغاء الفيروس
ويمكن الغاء الفيروس بطريقتين الأولى يدوية وهي التي تتطلب معرفة من قبل المستخدم ببعض الأوامر البرمجية ومعرفة جيدة بالنقاط الحساسة في النظام والطريقة الاتوماتيكية وهي الاسلم خاصة لقليلي الخبرة بملفات الويندوز ومجلداته.
وسنذكر هنا الطريقتين لمساعدة المستخدمين الذين اصيبت اجهزتهم بالمشكلة. فبالطريقة الاتوماتيكية يمكن حذف الملفات المتضررة والتي قام الفيروس بالكتابة فوقها والغائها واصلاح ملف تسجيل النظام واعادة النظام الى سابق عهده عن طريق تنزيل رقعة برمجية Patch من موقع شركة تريند مايكرو http://www.antivirus.com/vinfo/security/fix_sircam.reg لاصلاح المشاكل الناجمة عن الاضرار التي لحقت بملفات تسجيل النظام وهذه الرقعة البرمجية هي fix_sircam.reg وايضا تنزيل رقعة برمجية اخرى وهي الاهم عن طريق الوصلة التالية http://www.antivirus.com/vinfo/security/fix_sircam.com ووظيفتها هي فحص النظام والقيام بمسحه لالغاء الفيروس منه نهائيا واسمها fix_sircam.com. او تنزيل الرقعة البرمجية من الموقع التالي http://www.sarc.com/avcenter/FixSirc.com .كما ستجد في الصفحة التالية قائمة باخطر الفيروسات المنتشرة الحالية ومن بينها فيروس W32.Sircam يمكنك الوصول اليها من الصفحة التالية http://www.symantec.com/avcenter/tools.list.html
كما ان مواقع اخرى مثل نورتون http://www.norton.com ومكافي mcafee.com وغيرهما من الشركات المتخصصة في الحماية من الفيروسات قد قامت بنشر معلومات محددة ورقعا برمجية وتحديثا لقاعدة البيانات الخاصة ببرامجها لالغاء الفيروس والقضاء عليه بشكل نهائي.
الطريقة اليدوية
ويمكن للمستخدمين الذين لديهم خبرة بحل مشاكل النظام المختلفة تجربة الغاء البرنامج بالطريقة اليدوية ولكن يجب التاكيد ان المستخدم هنا سيتعامل مع ملفات وبرامج غاية في الحساسية قد يمكن تغييرها او تعديلها التسبب في تعطل النظام كلية وعدم عمله بكفاءة. ويمكن الوصول الى الفيروس القابع في ملف تسجيل النظام عن طريق الذهاب الى start/run ثم كتابة امر regedit وستعثر على الفيروس في حال وجوده في المفتاح البرمجي التالي HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
وفي الجانب الايمن ستعثر على ملف اسمه Driver32 كما ستعثر عليه في الجانب الايسر من مجلدات تسجيل النظام تحت المفتاح التالي HKLM\Software\SirCam وما عليك في كلا الحالتين الا الغاء تلك المفاتيح الخاصة به ومتابعة البحث في المفتاح التالي HKCR\exefile\shell\open\command والتدقيق في الجانب الايمن للعثور على المعادلة التالية C:\Recycled\SirC32.exe%1%* ويجب هنا تعديلها لتكون كالتالي "1%" ومن ثم اغلاق محرر سجل النظام.
ولالغاء الفيروس بشكل نهائي ماعليك الان الى التوجه عبر محرر الدوس لكتابة الامر التالي من C: وليس من الويندوز كما في الامر السابق ويمكن التحول فقط عن طريق كتابة امر التحول CD.. للوصول الى المؤشر C:\>يكون الامر كالتالي c:\edit autoexec.bat مع ملاحظة المسافة بين edit و autoexec.bat وستجد سطرا او عدة اسطر برمجية تحتوي على المعادلة التالية
(@win\recycled\Sirc32.exe) وما عليك الا الغاء ذلك السطر أو الأسطر نهائيا ومن ثم حفظ التغييرات.
ولمن حالفة الحظ ولم يصاب جهازه بعد بهذا الفيروس الخطير فما عليه الآن الا تحديث برنامج الحماية المثبت في جهازه عن طريق طلب تحديث البرنامج Update Now.
المواقع البريدية خطرة
وبقي أن نشير هنا الى أن معظم المواقع البريدية المجانية وحتى البريد المقدم من مقدمي الخدمة في داخل وخارج المملكة لاتزال تتلقى مئات الآلاف من الرسائل البريدية المصابة بهذا الفيروس فعلى سبيال المثال لايزال موقعا yahoo.com وhotmail.com يتلقيان الى ساعة اعداد هذا التقرير آلاف الرسائل المصابة بهذا الفيروس ولايمكنها حتى الآن ايقاف ذلك السيل من الرسائل مع وجود برامج حماية مستخدمة لديها ولذلك يجب على المستخدمين عدم الانخداع بمدى الأمان في تلك المواقع وعدم فتح اية رسالة جديدة وخاصة تلك التي تحمل ملفات ملحقة من البريد المجاني أو المدفوع الا بعد فحصها سواء من الموقع أو تنزيلها على جهاز المستخدم ومن ثم فحصها بالبرنامج الموجود لديه.
الغاء محتويات القرص الصلب
وينبغي التنبيه هنا الى أن الفيروس يقوم في حالة وجوده في جهاز أي مستخدم بتاريخ 16 اكتوبر بالغاء محتويات القرص الصلب في حالة عدم الغائه والتخلص منه نهائيا لذلك يجب الحذر من هذا الفيروس والعمل على تحصين الأجهزه منه.
وتقوم فكرة الفيروس الذي يعد من نوع الدودة الفيروسية Worm بالانتشار السريع والعشوائي والعمل على اغراق الاجهزة البريدية الخادمة Mail Server بآلاف وملايين الرسائل المهملة مما يؤدي الى شلها اوتعطيلها مؤقتا اضافة الى الحاق الاذاء بمستخدمي الانترنت الذين ستصاب أجهزتهم بها.