فيروسات دودة Win32/mywife.a

إعداد:  خالد بن محمد المسيهيج

الاسم التقني : W32/Mywife.A.worm
تاريخ الاكتشاف : 24 مارس
2004مستوى الضرر : متوسط
مدى الانتشار : متوسط
أسماء مستعارة أخرى : W32/MyLife@MM. I-Worm.Nyxem. W32.Blackmal@mm. W32.BlackWorm.A@mm. WORM _ BLUEWORM.A

عملها وطريقة انتشارها :
دودة W32/Mywife.A.worm  : هي عبارة عن دودة تقيم بالذاكرة وتعمل على نشر نفسها عبر البريد الإلكتروني وبعد أن تصيب جهازاً ترسل نفسها إلى جميع قائمة الأصدقاء الموجودين معه على مرسال MSN Messenger  و Yahoo Messenger ، أما عملــها فمن ضمن ما تقوم به تقويض برامج الحماية عن طريق إنهاء العمليات من قائمة المهام وكذلك العمل على إلغاء أي سطور مدونة لها بسجل الريجستري .

الرسائل التي ترفق بها الدودة :
في الغالب الرسائل المفخخة بهذه الدودة تأتي معنونة بعناوين إباحية مغرية بشكل يوهم ضحاياها على أن الملف المرفق هو عبارة عن مقطع من أفلام جنسية، ويأتي بشكل مضغوط يبلغ حجمه حوالي  63كيلوبايت يتضمن ملفاً تنفيذياً إما بهيئة تطبيق exe او com أو شاشة توقف scr
وقد تصل الرسائل على شكل تحذيرات من الدودة ذاتها، وفيما يلي ترجمة لنص إحدى الرسائل التي وردتني محملة بهذه الدودة اللعينة لتعرفوا مقدار الخطورة:

* المستخدم العزيز
هذا تحذير من فيروس عالي الخطورة، يصلك هذا التحذير لأن أحد أصدقائك قد أصيب بفيروس (W32.BlackWorm.A@mm) ومن المحتمل أن تصاب أنت بهذه الفيروس الذي يمتلك مقدرة عالية على تدمير القرص الصلب، والفيروس يأتي بإحدى ثلاث صور :
1- يصل كملف مرفق على هيئة صورة jpg.
2- يستهدف الآي بي دون معرفة الضحية.
3- يصيب بعض وثائق وورد التي تحتوي شفرة Hex.

ملحوظة:
منتـــجــات Symantec تدعـــم كــــشـــف هــــذه الــدودة وقد أرفقت لك أداة للتخلص منها. (انتهى النص) وقد أرفق مع الرسالة بالفعل ملف اسمـــه Scan.zip كما يظهر مـــن الصـــورة (1) يحتـــوي على ملــــف تنـــفــيــــذي بــــامـــتــــــداد com يقـــوم بالتــدمـــيــــر بمجــرد النقـــر المزدوج عليه.
هذه الرسالة قد تخدع الكثيرين منا ممن ليس لديهم دراية بالفيروسات خاصة وأن الرسالة تشير إلى أنها من جهــة متخصصة بمجال مكافحة الفيروسات.
الوقاية :
علينا أن نعلم جيداً أن شركات مكافحة الفيروسات توفر هذه الخدمة لمن يطلبها فقط وعن طريق مواقعها ولا تقوم بإرسال أي منتجات لها عبر البريد الإلكتروني ما لم يسبق هذا طلب رسمي، وبالتالي فإن أي رسائل يتم تضمينها بملفات يدعي مرسلوها أنها أدوات للتخلص من خطر الفيروسات هي الخطر ذاته (كما يظهر من الشكل 2) ، هذا علاوة على أن أي ملفات قابلة للتنفيذ مثل ذات الامتداد :
Exe. bat. pif. scr. com   وكذلك الملفات المضغوطة مثل : Zip. rar. tgz والتي قد تتضمن ملفات قابلة للتنفيذ ليس من الآمن استقبالها خصوصاً من عناوين غير معلومة، كما أن الرسائل التي تعنون باللغة الإنجليزية من أصدقاء لم يكن من المعتاد أن يرسلوا بهذه اللغة أمر يثير الشك خصوصاً إذا علمنا أنه عند إصابة جهاز تقوم الدودة بإرسال نفسها بشكل آلي ودون علم صاحبه إلى جميع العناوين المقيدة بدفتر العناوين. لذلك من الأسلم حذفها مباشرة إن لم يتوفر برنامج حماية بخادم البريد. كذلك من الموصى به تركيب أحد برامج الحماية الموثوق بها مثل AVG والذي يمكن الحصول على نسخة مجانية منه من خلال الوصلة التالية:
www.grisoft.com/us/us_dwnl7.php

العلاج :
إذا شعرت بأنك قد استقبلت رسالة مشبوهة فيمكنك الاستعانة بإحدى الأدوات المتخصصة إن لم يستطع برنامج الحماية المثبت على جهازك اكتشافها وهذا نادراً إذا كانت هناك متابعة مستمرة للتحديثات الخاصة بالبرنامج، ومن أكثر الأدوات شمولية تلك التي أنتجتها شركة www.avast.com  والتي تعمل على تحديثها بشكل مستمر حتى صارت علاجاً لأشهر الفيروسات الخطرة، وهذه الأداة يمكن الحصول عليها (محدثة) من خلال الوصلة التالية :
www.ma3refah.org/protection/ac
للتواصل معنا أو الاستفسار عن أي معلومات حول الفيروسات والحماية يمكن مراسلتنا على العنوان :
almusaihij@alriyadh.com.sa