انطلق فيروس جديد على الشبكة العالمية الإنترنت وبالرغم من أن الفيروس منخفض الخطورة إلا أنه يشكل تهديدا على ملفات وأنظمة المستخدم وكما هي العادة مع هذه الفيروسات فإنها تستغل برنامج البريد الإلكتروني الخاص بشركة مايكروسوفت والمعروف باسم آوت لوك وآوت لوك اكسبريس لهذا يجب أخذ الحيطة والحذر عند التعامل مع رسائل البريد الإلكتروني بواسطة هذا البرنامج ويفضل استخدام برامج مكافحة الفيروسات وتحديثها بشكل دائم لتوفير نسبة أمان وحماية مرتفعة. مستوى الخطورة : منخفض الاسم المستعار: Win32.Kitro.d - ARGEN.A - VBS_LEOLE.A - W32.Banegra.int- W32.Kitro.D.Worm النوع : دودة Worm البرامج التي يعمل عن طريقها : اي برنامج طريقة الانتشار : البريد الالكتروني التأثير : حذف ملفات + انشاء ملفات + ارسال رسائل الكترونية القدرة : يستطيع هذا الفيروس الانتشار عبر البريد الالكتروني وانشاء نسخ متعددة لنفسه والملف BanderaNegra.VBS داخل مجلد الوندوز.تستطيع معرفته بهذه الصفات : يكون موضوع Subject الرسالة كأحد هذه المواضيع : Te han enviado una postal Leelo y reenvialo a quienes aprecias Listado de falsas alarmas This is a last hoax list Para los amigos Fw: Enviame tu foto Es posible que nos roben la identidad Messenger vulnerable Test de amor :77 بداية نص الرسالة المرسلة يكون كالآتي : Postales NetWork (c)1999- 2002 ,Si.lo que expone este documento es lo que sientes. envialo a tus amigos. الملفات المرفقة : قد تكون أحد هذه الملفات : PostalDeAmistad.pif a.doc.pif Cristo_Nos_Ensea. Listado.txt.by.Microsoft.com List.txt.by.Microsoft.com Facturas556.XLS.pif EnLosAndes.pif YaNoPuedoSerYoMismo.DOC .pif reparacionDeMessenger.DOC. pif TestDeAmoryAmistad.DOC.pif يقوم بحذف الملفات غير المخفية من مجلد الوندوز ثم يقوم بوضع ملف BanderaNegra.VBS في ذلك المجلد وهذا الملف هوالمسؤول عن نشر هذا الفيروس الى العناوين البريدية ثم يقوم بنسخ نفسه داخل الملفات كالتالي : - C:\AUTOEXEC.BAK .EXE - C:\MSDOS.TIL .EXE - Windows\PostalDeAmistad.PI F. Windows\Cristo_Nos_Ense?a.Doc. PIF- Windows\Listado.txt.by.Microsoft. COM- Windows\List.txt.by.Microsoft.CO M- Windows\Facturas556.XLS.PIF- Windows\Recent\_VIRUS (2).LNK ثم ينشئ ادخالات السجل التالية \HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows \CurrentVersion\Run "KAZAACuF = "9 كما يقوم بتسجيل نفسه في النظام بمدخلات أخرى. ثم يستخدم الاوت لوك لنسخ نفسه منها وارسال النسخة الى العناوين المسجلة في الميكروسوفت آوت لوك فتكون النتيجة كما تقدم في اول المقال . تمت الترجمة من موقع http://www.ealaddin.com/ home/csrt/valerts.asp