سمير
03-18-2005, 08:58 AM
اكتشف اختصاصيون من شركة سوفوس لمكافحة الفيروسات اول برنامج تجسس يهاجم مضاد برامج التجسس AntiSpyware الذي اصدرته شركة مايكروسوفت كنسخة تجريبية منذ اكثر من شهر تقريبا.
البرنامج، المذكور واسمه «بانكاش-أ» Bankash.A يحاول اعاقة مايكروسوفت انتيسبايوير وحذف كل الملفات الموجودة في الدليل الخاص به مضيفا برنامجا خاصا بتسجيل ضربات الكيبورد لغرض سرقة معلومات المستخدم ككلمات السر واسماء المستخدم للدخول على المواقع المهمة مثل البنوك والمؤسسات المالية.
وطبقا لما اعلنته شركة سوفوس فان الفيروس المذكور هاجم موقع بنك باركليز في المملكة المتحدة الى جانب بنوك اخرى منها هاليفاكس، اتش اش بي سي، لويدز، نات ويست وسمايل.
وتنصح سوفوس مستخدمي الانترنت الا ينزلوا الملفات المجهولة وان يتأكدوا من تحديث برامج مضادات الفيروسات المثبتة على حواسب.
علامات الإصابة بالفيروس
- بمجرد وصول الفيروس الى جهاز المستخدم يتم تنزيل ملف ASH.DLL في دليل C:\windows\system او c:\winnt\system32
- يقوم بإضافة القيم التالية الى ملف التسجيل:
HKEY _ CLASSES _ ROOT\ CLSID\ {C6176B04 - 4446 - 9939 - E00EE94C420F}
HKEY _ CLASSES _ ROOT\ AntiSpy. AntiSpy
HKEY _ CLASSES _ ROOT\ AntiSpy.AntiSpy.1
HKEY _ LOCAL _ MACHINE\ SOFTWARE\ Microsoft\ CurrentVersion\ Explorer\ Browser Helper Object\ {C6176B04 - 8896 - 4446 - 9939 - E00EE94c420F}
- يقوم بحذف القيم التالية من ملف التسجيل لإيقاف فاعلية برنامج مايكروسوفت انتي سبايوير
HKEY _ LOCAL _ MACHINE \ Software\ Microsoft\ Windows\ Cur rentVersion\ Run\ gcasServ
- يقوم بتوقيف جميع المهام النشطة الخاصة بانتي سبايوير
- GCASCLEANER
- GCASDTSERV
GCASINSTALLHELPER
- GCASNOTICE
- GCASSERV
- GCASSERVALERT
- GCASSWUPDATER
- GCIPTOHOSTQUEUE
- GIANTANTISPYWAREMAIN
- GIANTANTISPYWAREUPDATER
- يلغي جميع الملفات الموجودة بالدليل C:\PROGRAM Files\Microsoft AntiSpyware folder
إزالة الفيروس
- توقيف برنامج System Restore (في حالة استخددام وندوز اكس بي).
- تحديث برنامج مضاد الفيروسات.
- تشغيل مضاد الفيروسات وعمل مسح «سكان» كامل على جميع سواقات الجهاز والغاء الملفات المصابة.
- الغاء القيم المضافة الى ملف التسجيل عن طريق RUN>regedit
- إعادة تعيين صفحة البداية الخاصة بالمتصفح
البرنامج، المذكور واسمه «بانكاش-أ» Bankash.A يحاول اعاقة مايكروسوفت انتيسبايوير وحذف كل الملفات الموجودة في الدليل الخاص به مضيفا برنامجا خاصا بتسجيل ضربات الكيبورد لغرض سرقة معلومات المستخدم ككلمات السر واسماء المستخدم للدخول على المواقع المهمة مثل البنوك والمؤسسات المالية.
وطبقا لما اعلنته شركة سوفوس فان الفيروس المذكور هاجم موقع بنك باركليز في المملكة المتحدة الى جانب بنوك اخرى منها هاليفاكس، اتش اش بي سي، لويدز، نات ويست وسمايل.
وتنصح سوفوس مستخدمي الانترنت الا ينزلوا الملفات المجهولة وان يتأكدوا من تحديث برامج مضادات الفيروسات المثبتة على حواسب.
علامات الإصابة بالفيروس
- بمجرد وصول الفيروس الى جهاز المستخدم يتم تنزيل ملف ASH.DLL في دليل C:\windows\system او c:\winnt\system32
- يقوم بإضافة القيم التالية الى ملف التسجيل:
HKEY _ CLASSES _ ROOT\ CLSID\ {C6176B04 - 4446 - 9939 - E00EE94C420F}
HKEY _ CLASSES _ ROOT\ AntiSpy. AntiSpy
HKEY _ CLASSES _ ROOT\ AntiSpy.AntiSpy.1
HKEY _ LOCAL _ MACHINE\ SOFTWARE\ Microsoft\ CurrentVersion\ Explorer\ Browser Helper Object\ {C6176B04 - 8896 - 4446 - 9939 - E00EE94c420F}
- يقوم بحذف القيم التالية من ملف التسجيل لإيقاف فاعلية برنامج مايكروسوفت انتي سبايوير
HKEY _ LOCAL _ MACHINE \ Software\ Microsoft\ Windows\ Cur rentVersion\ Run\ gcasServ
- يقوم بتوقيف جميع المهام النشطة الخاصة بانتي سبايوير
- GCASCLEANER
- GCASDTSERV
GCASINSTALLHELPER
- GCASNOTICE
- GCASSERV
- GCASSERVALERT
- GCASSWUPDATER
- GCIPTOHOSTQUEUE
- GIANTANTISPYWAREMAIN
- GIANTANTISPYWAREUPDATER
- يلغي جميع الملفات الموجودة بالدليل C:\PROGRAM Files\Microsoft AntiSpyware folder
إزالة الفيروس
- توقيف برنامج System Restore (في حالة استخددام وندوز اكس بي).
- تحديث برنامج مضاد الفيروسات.
- تشغيل مضاد الفيروسات وعمل مسح «سكان» كامل على جميع سواقات الجهاز والغاء الملفات المصابة.
- الغاء القيم المضافة الى ملف التسجيل عن طريق RUN>regedit
- إعادة تعيين صفحة البداية الخاصة بالمتصفح