نبذه عن كيفية دخول الفايروس الى جهازك وعمله
(1)
الفايروس يقوم بإقتحام جهازك عن طريق البورت
TCP Port 135, "DCOM RPC" & UDP Port 69, " TFTP"
ويطبق ثغرة DCOM RPC و يقوم بإظافة قيم في الريجستري وهي كالتالي :
"windows auto update"="msblast.exe"
للمسار التالي :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run
طريقة عمل الفايروس هو انه مع كل اعادة تشغيل للجهاز يعيد الفايروس تشغيل نفسه ويرسل
بيانات للمنفذ 135 لتطبيق ثغرة DCOM RPC ويقوم الفايروس او(worm) بإستغلال جهازك لعمل DDoS على موقع تحديث مايكروسوفت
تاثيرة على النظام :
بالنسبه للويندوز الاكس بي : يظهر لك رسالة خطاء
"windows must restart because the
Remote Procedure Call (RPC) service terminated unexpectedly" .
ويقوم باعادة تشغيل الجهاز بعد اتمام الاتصال بالانترنت ..
وبالنسبة لويندوز 2000 : يظهر لك رساله خطأ في الخدمه svchost.exe ويتوقف التصفح ويكون الجهاز بطيء نسبيا
طريقة الحماية من الفايروس :
القيام بعملية تحديث للويندوز وتثبيت الباتش الخاصه بهذه الثغره وهي كالتالي :
ويندوز اكس بي :
اضغط على الوصلة التالية
www.microsoft.com/downloads/...&displaylang
الويندوز 2000:
اضغط هنا
http://www.microsoft.com/downloads/...&displaylang
وتحديث الانتي فايرس #اما الاجهزه المصابة بالفايروس فهناك طريقة للتخلص منه وتعطيله مؤقتا حتى يتم تحديث الانتي فايروس او النظام وهي كالتالي :
Windows 2000, XP vista
-1 اضغط CTRL+ALT+DEL
-2 اضغط على Task Manager
3- بعدين اضغط على Processes
-4 بعدين ابحث عن ملف اسمه msblast.exe
-5 اذا حصلته ظلله بعدين اضغط على End Process
بعدها قم بالضغط على Ok وبهذا الشكل تكون قد اوقفت عمل الفايروس وتخلصت من عملية اعادة التشغيل عند اتمام عملية الاتصال بالانترنت. الخطوة التالية هي الاتصال بالإنترنت وتحديث الانتي فايروس Latest Update بعد ذلك سيتم
إزالة الفايروس نهائيا من الجهاز إن شاء الله.
وهناك طريقتين اضافيتين لإيقاف عمل الفايروس احدها اذا كان الجهاز يحوي جدار حماية
Firewall يجب القيام بعملية اغلاق البورتات 135 TCP, 69 UDP, 4444 TCP
والطريقة الثانية هي استخدام اداة خاصه لازالة الفايروس اصدرتها شركة سايمانتك(نورتون)