المملكة تستضيف "معرض التحول الصناعي 2025" في ديسمبر المقبل    البديوي : اقتحام وزير قوات الاحتلال وعددٌ من المستوطنين المتطرفين المسجد الأقصى انتهاكٌ صارخٌ للمقدسات الإسلامية    أمطار رعدية على عدد من مناطق المملكة    جمعية إحسان بجازان تكرم متطوعيها المتميزين في شهر رمضان    بلدية محافظة الشماسية تحتفل بعيد الفطر المبارك    هيئة الهلال الأحمر بالشرقية تكثف جهودها خلال عيد الفطر 1446ه    مصادرة العديد من الفواكة الغير صالحة للاستهلاك بمنطقة عسير    الدفاع المدني: استمرار هطول الأمطار الرعدية على معظم مناطق المملكة حتى الاثنين المقبل    المملكة تدعم أبطال ذوي التوحد    أكثر من 30 فعالية في (٨) مواقع تنثر الفرح على سكان تبوك وزوارها    بلدية محافظة الأسياح تحتفي بعيد الفطر وتنشر البهجة بين الأهالي    أخضر السيدات يدشن معسكر الدمام ويواجه سريلانكا وهونغ كونغ    "التجارة": نفاذ نظاميّ السجل التجاري والأسماء التجارية اعتباراً من اليوم    في افتتاح كأس آسيا بالطائف .. الأخضر السعودي تحت 17 عاماً يواجه الصين    احتفالات مركز نعام بعيد الفطر المبارك 1446ه    القادسية يتغلّب على الرائد ويتأهل لنهائي كأس الملك    قمر صناعي صيني لبث الإنترنت    عون: العالم العربي وعلى رأسه السعودية رئة لبنان اقتصادياً    الدولار يتراجع بنسبة 1% أمام اليورو إثر إعلان ترامب بشأن الرسوم الجمركية    العثور على «صقر الأسياح» في العراق    فرحة العيد    عيد الشعبة غير    ماذا عن هؤلاء يا لجنة الاستقطاب؟!    بلدية محافظة الشماسية تحتفل بعيد الفطر    بماذا أعددنا ل«يونيو»؟    هل هناك حاجة لزيادة عدد الفرق؟    مجمع الملك سلمان يُطلق برنامج «شهر اللغة العربية» في إسبانيا    تشهي التخطئة    المملكة توزّع 467 سلة غذائية في مدينة بيروت بلبنان    هيئة العقار تدرس وضع حد لرفع الإيجارات    جناح مكتبة الملك عبدالعزيز العامة في بولونيا يحظى بإشادة الزوار الإيطاليين والمبتعثين    الرياض تحتضن منتدى الاستثمار الرياضي 2025 الاثنين المقبل    السفير الرقابي يقيم حفل استقبال ويشارك رئيس الجمهورية بصلاة عيد الفطر المبارك    فاطمة الفهرية التي أسست أقدم جامعة في العالم؟    وزارة الصحة الأمريكية تبدأ عمليات تسريح موظفيها وسط مخاوف بشأن الصحة العامة    ترحيب سعودي باتفاق طاجيكستان وقرغيزستان وأوزبكستان    طيفُ التوحدِ همٌ أُمَمِي    نواف بن فيصل يُعزّي أسرة الدهمش في وفاة الحكم الدولي إبراهيم الدهمش    رجال أعمال صبيا يسطرون قصص نجاح ملهمة في خدمة المجتمع وتنمية الاقتصاد المحلي    مدرب الشباب ينتقد التحكيم عقب الخسارة أمام الاتحاد    العيد يعزز الصحة النفسية    8 دول في أوبك+ تجتمع الخميس وتوقعات ببدء خطة رفع الإنتاج    تجربة سعودية لدراسة صحة العيون في الفضاء    محافظ الطوال يؤدي صلاة عيد الفطر المبارك في جامع الوزارة ويستقبل المهنئين    باحثون روس يطورون طريقة لتشخيص التليف الكيسي من هواء الزفير    جوارديولا يُعلن مدة غياب هالاند    جمعية " كبار " الخيرية تعايد مرضى أنفاس الراحة    أكثر من 122 مليون قاصدٍ للحرمين الشريفين في شهر رمضان    الأمير سعود بن نهار يستقبل المهنئين بعيد الفطر    "أمانة الطائف" تنهي استعداداتها لعيد الفطر المبارك    جمع مهيب في صلاة عيد الفطر في مسجد قباء بالمدينة المنورة    إدارة المساجد والدعوة والإرشاد بمحافظة بيشة تُنهي استعداداتها .    مختص ل «الرياض»: 7% يعانون من اضطراب القلق الاجتماعي خلال الأعياد    ترامب: لا أمزح بشأن سعيي لفترة رئاسية ثالثة    وسائل إعلام: ترامب يعتزم زيارة السعودية في منتصف مايو    إنجاز إيماني فريد    عيد الدرب.. مبادرات للفرح وورود وزيارات للمرضىع    بين الجبال الشامخة.. أبطال الحد الجنوبي يعايدون المملكة    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



فيروس MTX يعطل برامج مكافحة الفيروسات ويستهدف المزيد من الضحايا
بطيء الانتشار وشديد الخطورة
نشر في الجزيرة يوم 27 - 09 - 2000

حذر خبراء مكافحة فيروسات الكمبيوتر من انتشار فيروس MTX الذي بات يشكل تهديدا خطيرا لمستخدمي شبكة الانترنت ووصفوه بأنه من اشد الفيروسات تعقيدا واكثرها خطورة رغم انه بطيء الانتشار وبخاصة انه يتكون من ثلاثة اجزاء يؤدي كل منها وظيفة مستقلة في الجهاز المصاب.
واكد الخبراء ان الفيروس يصيب انظمة تشغيل ويندوز 95 و 98 و 2000 وNT من خلال رسالة بريدية تحمل ملفات الفيروس او خلال زيارة المستخدم لموقع www. coderz. net. martix الذي استخدمه مصمم او مصممو الفيروس لاصطياد الضحايا من خلال ارسال دعوات الى مستخدمي برامج الشات مثل ICQ او Microsoft chat او AOL لزيارة هذا الموقع على اعتبار انه موقع للصور الاباحية او لبرامج الكمبيوتر الجديدة المقرصنة.
ويتكون الفيروس من الجزء الرئيسي وهو المسؤول عن تنصيب الجزءين الآخرين واحدهما يعمل بنظام دودة الانترنت Worm وهي المسؤولة عن نشر الفيروس من خلال البريد الالكتروني اما الجزء الثالث فيعمل بنظام برامج الباك دور Backdoor التي يستخدمها القراصنة في اختراق اجهزة الكمبيوتر ونشر الفيروسات وبرامج تروجان هورس الخبيثة ووصف الخبراء هذا الفيروس بانه مراوغ ولديه قدرة على التخفي وخداع برامج المكافحة ولا يصيب جهاز الكمبيوتر بمجرد الوصول اليه ولكنه يبحث اولا عن برامج مكافحة الفيروسات النشطة في نظام التشغيل ويقوم بتعطيلها تماما حتى لا تتمكن من رصده واكتشافه وبعد ذلك يقوم الفيروس بتنصيب نفسه داخل ملفات Win32 System المسؤولة عن اداء المهام التنفيذية في جهاز الكمبيوتر وبمجرد السيطرة على هذه الملفات يقوم بفك ملفات الجزء الثاني والثالث منه وهو الدودة والباك دور ليعملا بشكل مستقل تماما عنه ويقوم بتنصيبهما في ملفات win 32. kernel وwin 32 API ويقوم بتخليق ثلاثة ملفات جديدة ويحمل الاول اسم IE. PACK. EXE وهو الملف المسؤول عن تنشيط الدودة ويحمل الملف الثاني اسم WIN 32. DLL وهو الذي يضم الشفرة الرئيسية للدودة الذي يستخدم في السيطرة على المهام التنفيذية في نظام التشغيل اما الملف الثالث فيحمل اسم MTX. EXE وهو خاص ببرنامج الباك دور الذي سيستخدم فيما بعد في نقل ملفات البيانات من والى جهاز الكمبيوتر المصاب عبر شبكة الانترنت من خلال الاتصال باجهزة الخدمة سي فر معينة يسيطر عليها مصممو الفيروس.
الدودة
وينتهي عمل الفيروس الرئيسي بعد اصابة ملفات PE. EXE في دليل Win 32 System ليبدأ بعد ذلك عمل الدودة التي تقوم باصابة ملفات WSOCK 32. DLL وتحاول تغيير امتداد هذه الملفات وعندما تفشل في ذلك بسبب استخدام هذه الملفات من قبل نظام التشغيل تلجأ الدودة الى الحيلة التقليدية المعروفة وهي عمل نسخة جديدة من الملفات الاصلية وتعطيها اسم WSOCK 32. DLL. MTX وتصدر امرا باحلال النسخة الجديدة بدلا من الملفات الاصلية في الدليل WININTT. INI. File وتكون صيغة الامر كالتالي:
NUL=
C\ WINDOWS\ SYSTEM\ MICROSOFT\ WSOCK 32. DLL C:\WINDOWS\ SYSTEM\ WSOCK 32. MTX
وعند اول محاولة لاعادة تشغيل جهاز الكمبيوتر تتم عملية استبدال الملفات الاصلية بالاخرى المنسوخة وبذلك تتمن الدودة من السيطرة على نظام التشغيل ويمكنها الدخول الى كل الملفات الموجودة على القرص الصلب في الجهاز المصاب وتقوم بارسال رسالة الى اجهزة الخدمة التي يسيطر عليها القراصنة مفادها ان الجهاز اصبح تحت السيطرة ويمكنه ارسال واستقبال أي ملفات.
وتقوم الدودة بعد ذلك بمنع الجهاز المصاب من الدخول الى اكثر من 29 موقعا على شبكة الانترنت معظمها خاص بشركات مكافحة الفيروسات وعلى رأسها الشركات الاربع الرئيسية في هذا المجال وهي سيمانتك التي تنتج برنامج نورتون انتي فيروس وما كافي وشركة اف سيكيور وشركة تريند ماكرو اليابانية بالاضافة الى مواقع شركات ايرث لينك وباندا سوفت وير, وتقوم الدودة ايضا بمنع ارسال اي رسالة بريد الكتروني من الجهاز المصاب الى هذه الشركات وبعد ذلك تبدأ الدودة مهمتها الرئيسية وهي نشر الفيروسات بين اكبر عدد ممكن من الاجهزة المتصلة بالجهاز المصاب عن طريق اعتراض اي رسالة بريدية صادرة منه ثم تقوم بنسخ صورها منها وتعيد ارسالها مرة اخرى ومعها الرسالة المنسوخة التي تضم ملف مرفق يحمل الفيروس وهي نفس الطريقة التي تعمل بها الدودة المعروفة باسم Happy 99\ska وتكون النتيجة ان الضحية الجديد يستقبل الرسالة الاصلية معلومة المصدر والموضوع والرسالة المنسوخة التي لا تحمل اية بيانات في موضوعها باستثناء الفيروس الذي ينشط بمجرد النقر على الملف المرفق وقالت شركة اف سيكور الفنلندية لمكافحة الفيروسات ان فيروس MTX يستطيع خداع المستخدمين بالعناوين البراقة التي تحملها الرسالة المصابة وحتى الان تم تسجيل اكثر من 30 اسما للفيروس معظمها يحمل معاني مثيرة مثل اني اعتذر عما حدث بالامس او موقع جديد لنابتسر او حافظ على بطاقتك الائتمانية او مواقع مجانية من جيوستايز او اربح 100 دولار الآن او صور لبيل جيتس وبعض الرسائل تحمل مضامين اباحية لاغراء المراهقين مثل انا عارية او مواقع اباحية او رسالة حب لك او اريد ان اراك .
وبعضها يأتي على شكل رسالة من شركات البرمجيات مثل برنامج مكافحة لفيروس تشر نوبل او رسالة تحذيرية من الانترنت او هل برنامج تشغيل لينكس جيد بما فيه الكفاية وغيرها من المعاني التي تخدع الضحايا وتدفعهم دفعا لفتح الملف المرفق.
الباك دور
اما الجزء الثالث من الفيروس فهو عبارة عن برنامج باك دور او الباب الخلفي الذي يستخدمه القراصنة في فتح الثغرات داخل اجهزة الكمبيوتر للسطو على المعلومات المهمة التي تحتويها او لنشر الفيروسات وبرامج التروجان هورس ويقوم هذا البرنامج بتنصيب نفسه داخل ملفات النظام عن طريق تكوين مفتاح خاص به يحمل اسم HKLM\SOFTWARE\MATRIX ويقوم بتسجيل نفسه كاحد ملفات بدء التشغيل تحت اسم:
HKLM\ SOFTWARE\ MICROSOFT\ WINDOWS \Current Version \Run
وبعد ذلك يصبح احد التطبيقات النشطة في نظام التشغيل لكنه يظل مختفيا بحيث لا يلاحظه المستخدم ويعمل تلقائيا بمجرد اتصال جهاز الكمبيوتر بشبكة الانترنت ويقوم بنقل الملفات والبيانات من الجهاز المصاب الى الاجهزة الخاصة بالقراصنة ويمكن من خلاله تنصيب اي فيروس او برنامج تروجان هورس في الجهاز المصاب.
وحرصا من الجزيرة على حماية اجهزة قرائها الاعزاء من خطر الاصابة بهذا الفيروس فاننا ننشر القائمة الكاملة للاسماء التي يظهر بها فيروس MTX وهي كالتالي:
README. TXT. pif. و wanna see YOU. TXT. pif و MATRIX Screnn Saver. Scr وOVE. LETTER. FOR YOU. TXT. pif وNew. playboy. Screen. Saver. SCR وBILL. GATES PICES. GPG. pif و TIAZNHA. JPG. pif و FETICEIRA. NUA. JPG. pif وGeocities FREE. Sites. TXT. pif وNEW. NAPSTER. site. TXT. pif و METALLICA. SONG. MP3. pif و ANTI. CIH. EXE. و INTERNET, SECURITY FORMUD. DOC. pif ALANIS. Screen Saver. SCR و READER. DIGEST. LETTER. TXT. pif و WIN. $ 100 NOW. DOC. pif و IS LINUX. GOOD. ENOUHG. TXT. pif و QI. TEST. EXE و AVI, Updates. EXT و EXE. SEICIHO. NO. IE وYOU are FAT. TXT. pif FREE. XXX. sites. TXT. pif و I am sorry. DOC. pif و ME. nude. AVI. pif و Sorry about, yesterday. DOC. pif وProtect YOUR, CREDIT. HTML. pif وJIMI HMUNDRIX. MP3. pif وHANSON, SCR و MATRIX. 2 IS OUT. SCR وzipped. files. EXE و BLINK. 182. MP3. pif.
العلاج
واشار الخبراء الى ان شركات مكافحة الفيروسات لم تتمكن بعد من تطوير برامجها لملاحقة هذا الفيروس والقضاء عليه لذلك فاحتمالات اصابة عدد كبير من الاجهزة به ما زالت قائمة لذلك فهم ينصحون اصحاب الاجهزة المصابة بسرعة القضاء عليه بالطريقة اليدوية التقليدية التي تتمثل في الدخول الى جهاز الكمبيوتر بنظام دوس وازالة الملفات الثلاثة التي قام الفيروس بتخليقها وهي:
IE PACK. EXE و WIN 32. DLL و MTX. EXE ثم استعادة ملفات WOSCK32. DLL الاصلية التي قام الفيروس بالكتابة عليها وبعد ذلك يتم تشغيل جهاز الكمبيوتر بشكل طبيعي جدا ولكن تذكر دائما ان الوقاية خير من العلاج.


انقر هنا لقراءة الخبر من مصدره.