بسم الله الرحمن الرحيم
اللهم صل على محمد وعلى ال بيت محمد
السلام عليكم ورحمة الله وبركاته
منتديات عراق وير
ان من المهم قبل ان تبدأ في حماية نفسك وحاسوبك لا بد ان تتعرف على المخاطر
ومن هذه المخاطر الفايروسات
لهذا اليوم سنتكلم عن احد الفايروسات
Virus.Win32.Induc.a عبارة عن [size=21] فيروس يصيب ملفات الدلفي .
و من مزاياه لا توجد أعراض واضحة تدل على وجود هذه البرامج الخبيثة على جهاز المتضررة. و حجم الفايروس هو 5 KB[/size]
تاريخ ضهور الدودة الخبيثة Aug 19, 2009 طريقة عمله 1- نسخ الملف SysConst.pas الأصلي من مجلد : \source\rtl\sys الى مجلد Lib.
2- اضافة الأوامر التي تم ذكرها في نفس الملف.
3- استعمال ملف dcc32.exe لانتاج ملف SysConst.dcu.
4- حذف الملف SysConst.pas المنسوخ في المجلد Lib.
----
5- عمل نسخة Backup للملف الأصلي SysConst.dcu و استبدال الأصلي بالنسخة الملوثة.
في كل مرة مع تشغل الملفات الملوثة المنتجة بدلفي يقوم الفيروس المحقون في الكود بالتحقق بعمل CreateFile على ملف SysConst.bak و في حالة وجوده لا يتم التلويث و العكس صحيح...
الاصدارات المستهدفة تخص نسخ Borland.
جيد نصل الان الى تقرير HijackThis : حيث نجد الاسطر مثلا على الشكل التالي :
04-HKLM\Software\Borland\Delphi\x.0\
و هنا مثل على بعض الانتي فيروسات التي تتعرف على الاصابة
ومنها KAV 2011
KIS 2011
AVG 2011
Avast 2011
Bitdefender 2011
Avira 2011
Gdata 2011
Eset 2011
Norton 2011
نرجع الان الى الحلول المتواجدة و اللازمة للقضاء على هذا الفايروس الخبيث اتبع الخطوات التالية : في هذا الموضوعHiJaCkThIs مهم جدا إفتح HijackThis وضع علامة صح على هذه الأسطر
واضغط Fixchecked
[size=21][b]04-HKLM\Software\Borland\Delphi\x.0\
حدف الملفات التالية :
<LI>%Temp%\CiB.nfo
<LI>%Temp%\Keygen.exe
<LI>%Temp%\read_me.txt
تحميل الاداة المخصصة لتدمير هدا الفايروس اللعين:
spyware-doctor
<LI>
[/size][/b]</LI>