أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

تنبيه خاص بالفيروس المتنقل Win32/Conficker

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

ينتهي الدعم المقدم لـ Windows Vista Service Pack 1 (SP1) في ١٢ يوليو ٢٠١١. لمتابعة تلقي التحديثات الأمنية لنظام التشغيل Windows، تأكد من تشغيل Windows Vista المزود بحزمة الخدمة Service Pack 2 (SP2). لمزيد من المعلومات، ارجع إلى صفحة Microsoft على الويب: انتهاء الدعم لبعض إصدارات Windows.
الملخص
تم إعداد المعلومات الواردة في مقالة قاعدة المعارف هذه لبيئات الأعمال التي يتوفر بها مسؤولو النظام الذين يمكنهم تنفيذ التفاصيل المذكورة في هذه المقالة. ولا يوجد سبب لاستخدام هذه المقالة في حالة قيام برنامج الحماية من الفيروسات الخاص بك بتنظيف الفيروس بشكلٍ صحيح وكذلك إذا تم تحديث الأنظمة بشكلٍ كامل. للتأكد من خلو النظام من الفيروس Conficker، قم بإجراء فحص سريع من صفحة الويب التالية: http://www.microsoft.com/security/scanner/en-us/default.aspx للحصول على معلومات تفصيلية حول فيروس Conficker، قم بزيارة صفحة Microsoft التالية على الويب:
أعراض الإصابة
في حالة إصابة جهاز الكمبيوتر الخاص بك بهذا الفيروس المتنقل، قد لا تواجه أي عرض من الأعراض، أو قد تواجه أي من الأعراض التالية:
  • تجاوز نُهُج تأمين الحساب.
  • تعطيل "التحديثات التلقائية" و"خدمة النقل الذكي في الخلفية" (BITS)، وWindows Defender و"خدمات الإعلام عن الخطأ".
  • استجابة وحدات التحكم بالمجال ببطء إلى طلبات العملاء.
  • إغلاق الشبكة.
  • تعذر الوصول إلى مواقع الويب المرتبطة بالأمان المتنوعة.
  • تعذر تشغيل العديد من الأدوات المرتبطة بالأمان. للحصول على قائمة بالأدوات المعروفة، الرجاء زيارة صفحة Microsoft التالية على الويب، ثم انقر فوق علامة التبويب تحليل للحصول على معلومات حول فيروس Win32/Conficker.D. لمزيد من المعلومات، الرجاء زيارة صفحة Microsoft التالية على الويب:
لمزيد من المعلومات حول فيروس Win32/Conficker، الرجاء زيارة صفحة Microsoft Malware Protection Center (مركز الحماية من البرامج الضارة لـ Microsoft) التالية على الويب:
طرق النشر
يتوفر في فيروس Win32/Conficker عدة طرق للنشر. وتتضمن ما يلي:
  • استغلال الثغرة الأمنية التي يتم تصحيحها بواسطة التحديث الأمني رقم ٩٥٨٦٤٤ (MS08-067)
  • استخدام مشاركات الشبكة
  • استخدام وظيفة التشغيل التلقائي
لذلك، يجب أن تكون حريصًا عند تنظيف إحدى الشبكات بحيث لا تتم إعادة إدخال التهديد إلى الأنظمة التي تم تنظيفها مسبقًا.

ملاحظة لا ينتشر متغير Win32/Conficker.D إلى محركات الأقراص القابلة للإزالة أو المجلدات المشتركة عبر إحدى الشبكات. يتم تثبيت الفيروس Win32/Conficker.D من خلال المتغيرات السابقة للفيروس Win32/Conficker.
المنع
  • يجب استخدام كلمات مرور مسؤول قوية لكافة أجهزة الكمبيوتر.
  • يجب عدم تسجيل الدخول إلى أجهزة الكمبيوتر باستخدام بيانات اعتماد "مسؤول مجال" أو بيانات الاعتماد التي لها حق الوصول إلى كافة أجهزة الكمبيوتر.
  • يجب التأكد من تطبيق آخر التحديثات الأمنية على كافة الأنظمة.
  • يجب تعطيل ميزات القراءة التلقائية. لمزيد من المعلومات، راجع الخطوة ٣ من القسم "إنشاء كائن نهج مجموعة".
  • يجب إزالة الحقوق الزائدة للمشاركات. ويتضمن ذلك إزالة أذونات الكتابة إلى الجذر الخاص بأية مشاركة.
خطوات للتقليل من إمكانية انتشار للفيروس

إيقاف انتشار الفيروس Win32/Conficker باستخدام إعدادات نهج المجموعة

ملاحظات
  • هام تأكد من توثيق أية إعدادات حالية قبل إجراء أية تغييرات مقترَحة في هذه المقالة.
  • ولا يؤدي هذا الإجراء إلى إزالة البرنامج الضار Conficker من النظام. ولكن هذا الإجراء يوقف انتشار البرنامج الضار فقط. يجب استخدام منتج للحماية من الفيروسات لإزالة البرنامج الضار Conficker من النظام. أو اتبع الخطوات الواردة في القسم "خطوات يدوية لإزالة الفيروس Win32/Conficker" من مقالة "قاعدة المعارف" هذه لإزالة البرامج الضارة يدويًا من النظام.
  • قد لا يمكنك تثبيت التطبيقات أو حزم الخدمة أو التحديثات الأخرى بشكلٍ صحيح بينما تكون تغييرات الأذونات الموصَى بها في الخطوات التالية في موضعها. ويتضمن هذا، على سبيل المثال لا الحصر، تطبيق التحديثات من خلال استخدام Windows Update وخادم Microsoft Windows Server Update Services (Configuration Manager 2007) وSystem Center Configuration Manager (SCCM) نظرًا لاعتماد هذه المنتجات على مكونات "التحديثات التلقائية". تأكد من تغيير الأذونات إلى ما كانت عليه في الإعدادات الافتراضية بعد تنظيف النظام.
  • لمزيد من المعلومات حول الأذونات الافتراضية لمفتاح التسجيل SVCHOST ومجلد "المهام" المذكورة في القسم "إنشاء كائن نهج مجموعة"، راجع جدول الأذونات الافتراضية في نهاية هذه المقالة.

إنشاء كائن نهج مجموعة

قم بإنشاء كائن نهج مجموعة (GPO) الذي ينطبق على كافة أجهزة الكمبيوتر في وحدة تنظيمية (OU) محددة أو موقع أو مجال محدد حسب المطلوب في البيئة الخاصة بك.

للقيام بذلك، اتبع الخطوات التالية:
  1. قم بتعيين نهج لإزالة أذونات الكتابة إلى مفتاح التسجيل الفرعي التالي:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    يمنع هذا الإجراء إنشاء خدمة البرامج الضارة المسماة عشوائيًا في قيمة تسجيل netsvcs.

    للقيام بذلك، اتبع الخطوات التالية:
    1. افتح "وحدة التحكم في إدارة نُهج المجموعة" (GPMC).
    2. قم بإنشاء GPO جديد. قم بتسميته بالاسم الذي تريده.
    3. افتح "قالب نهج مجموعة" جديد، ثم انتقل إلى المجلد التالي:
      تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\السجل
    4. انقر بزر الماوس الأيمن فوق السجل، ثم انقر فوق إضافة مفتاح.
    5. في مربع الحوار تحديد مفتاح التسجيل، قم بتوسيع الجهاز، ثم انتقل إلى المجلد التالي:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. انقر فوق موافق.
    7. في مربع الحوار الذي سيظهر، انقر لإلغاء تحديد خانة الاختيار تحكم كامل لما يلي المسؤولون والنظام.
    8. انقر فوق موافق.
    9. في مربع الحوار إضافة كائن، انقر فوق استبدال الأذونات الخاصة بكافة المفاتيح الفرعية بالأذونات القابلة للوراثة.
    10. انقر فوق موافق.
  2. قم بتعيين النهج لإزالة أذونات الكتابة إلى المجلد %windir%\Tasks. يمنع هذا الإجراء البرنامج الضار Conficker من إنشاء "المهام المجدولة" التي يمكن أن تصيب النظام مرة أخرى.

    للقيام بذلك، اتبع الخطوات التالية:
    1. في نفس "قالب نهج المجموعة" الذي قمت بإنشائه مسبقًا، انتقل إلى المجلد التالي:
      تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\نظام الملفات
    2. انقر بزر الماوس الأيمن فوق نظام الملفات، ثم انقر فوق إضافة ملف.
    3. في مربع الحوار إضافة ملف أو مجلد، قم بالاستعراض إلى المجلد %windir%\Tasks. تأكد من تمييز المهام وسردها في مربع الحوار المجلد.
    4. انقر فوق موافق.
    5. في مربع الحوار الذي يتم فتحه، انقر لإلغاء تحديد خانات الاختيار تحكم كامل وتعديل وكتابة لكل من Administrators وSystem.
    6. انقر فوق موافق.
    7. في مربع الحوار إضافة كائن، انقر فوق استبدال الأذونات الخاصة بكافة المفاتيح الفرعية بالأذونات القابلة للوراثة.
    8. انقر فوق موافق.
  3. قم بتعطيل ميزات القراءة التلقائية (التشغيل التلقائي). يمنع هذا الإجراء انتشار البرنامج الضار Conficker باستخدام ميزات القراءة التلقائية التي يتم بناؤها في أنظمة تشغيل Windows.

    ملاحظة تختلف التحديثات التي يجب تثبيتها لتعطيل وظيفة "التشغيل التلقائي" بشكل صحيح تبعًَا للإصدار الذي تستخدمه من أنظمة تشغيل Windows:
    • لتعطيل وظيفة "التشغيل التلقائي" في نظام التشغيل Windows Vista أو في نظام التشغيل Windows Server 2008، يجب أن يكون مثبتًا لديك التحديث الأمني ٩٥٠٥٨٢ (الموضَّح في نشرة الأمن MS08-038).
    • لتعطيل وظيفة "التشغيل التلقائي" في نظام التشغيل Windows XP أو نظام التشغيل Windows Server 2003 أو نظام التشغيل Windows 2000، يجب أن يكون مثبتًا لديك التحديث الأمني ٩٥٠٥٨٢ أو التحديث ٩٦٧٧١٥ أو التحديث٩٥٣٢٥٢.
    لتعيين ميزات "القراءة التلقائية" (التشغيل التلقائي) إلى معطل، اتبع الخطوات التالية:
    1. في نفس "قالب نهج المجموعة" الذي قمت بإنشائه مسبقًا، انتقل إلى أحد المجلدات التالية:
      • بالنسبة لمجال Windows Server 2003، انتقل إلى المجلد التالي:
        تكوين الكمبيوتر\قوالب الإدارة\نظام
      • بالنسبة لمجال Windows 2008، انتقل إلى المجلد التالي:
        تكوين الكمبيوتر\قوالب الإدارة\مكونات Windows\نُهج القراءة التلقائية
    2. افتح النهج إيقاف تشغيل القراءة التلقائية.
    3. في مربع الحوار إيقاف تشغيل القراءة التلقائية، انقر فوق ممكَّن.
    4. في القائمة المنسدلة، انقر فوق كافة محركات الأقراص.
    5. انقر فوق موافق.
  4. قم بإغلاق "وحدة التحكم بإدارة نُهج المجموعة".
  5. قم بربط "قالب نهج المجموعة" الذي تم إنشاؤه حديثًا بالموقع الذي تريد تطبيق هذا القالب عليه.
  6. انتظر حتى تقوم "إعدادات نهج المجموعة" بإجراء التحديث على كافة أجهزة الكمبيوتر. عمومًا، يستغرق النسخ المتماثل لـ "نهج المجموعة" خمس دقائق حتى يتم نسخه نسخًا متماثلاً إلى كل وحدة تحكم بالمجال، و٩٠ دقيقة لنسخه نسخًا متماثلاً إلى باقي الأنظمة. تكفي هذه العملية ساعتين من الوقت. على الرغم من ذلك، قد تتطلب مزيدًا من الوقت، حسب البيئة.
  7. بعد أن يتم نشر إعدادات "نهج المجموعة"، قم بتنظيف الأنظمة من البرامج الضارة.

    للقيام بذلك، اتبع الخطوتين التاليتين:
    1. قم بإجراء عمليات فحص برامج الحماية من الفيروسات على كافة أجهزة الكمبيوتر.
    2. إذا لم تكتشف برامج الحماية من الفيروسات Conficker، يمكنك استخدام "برنامج مكافحة الفيروسات من Microsoft" لتنظيف هذه البرامج الضارة. لمزيد من المعلومات، قم بزيارة صفحة Microsoft التالية على الويب: http://www.microsoft.com/security/scanner/en-us/default.aspxملاحظة قد يلزمك اتباع بعض الخطوات اليدوية لتنظيف كافة آثار البرامج الضارة. نوصي بمراجعة الخطوات المسردة في القسم "خطوات يدوية لإزالة الفيروس Win32/Conficker" من هذه المقالة لتنظيف كافة آثار البرامج الضارة.
استرداد

تشغيل برنامج مكافحة الفيروسات من Microsoft.

قام مركز حماية البرامج الضارة في Microsoft بتحديث برنامج مكافحة الفيروسات من Microsoft. تعتبر هذه ثنائية مستقلة تفيد في إزالة البرامج الضارة الموجودة، كما تساعد على إزالة عائلة البرامج الضارة Win32/Conficker.

ملاحظة لا يعمل برنامج مكافحة الفيروسات من Microsoft على منع الإصابة مرة أخرى لأنه لا يمثل برنامج حماية من الفيروسات في الوقت الحقيقي.

يمكنك تحميل برنامج مكافحة الفيروسات من Microsoft من موقع Microsoft التالي على الويب:
ملاحظة ستعمل أداة Stand-Alone System Sweeper أيضًا على إزالة هذه الإصابة. تتوفر هذه الأداة كمكون في Microsoft Desktop Optimization Pack 6.0 أو من خلال "خدمة العملاء والدعم". للحصول على Microsoft Desktop Optimization Pack، الرجاء زيارة موقع Microsoft التالي على الويب: في حالة تشغيل برنامج Microsoft Security Essentials أو Microsoft Forefront Client Security على النظام، فإن هذه البرامج تقوم بحظر التهديد قبل تثبيته.

خطوات يدوية لإزالة الفيروس Win32/Conficker

ملاحظات
  • لم تعد الخطوات اليدوية هذه مطلوبة ويجب استخدامها فقط في حالة عدم توفر أي برنامج حماية من الفيروسات لإزالة الفيروس Conficker.
  • بناءً على متغير Win32/Conficker الذي تمت إصابة جهاز الكمبيوتر به، من المحتمل ألا يكون قد تم تغيير بعض هذه القيم المشار إليها في هذا القسم.
قد تساعدك الخطوات التفصيلية التالية في إزالة الفيروس Conficker من أحد الأنظمة يدويًا:
  1. قم بتسجيل الدخول إلى النظام باستخدام حساب محلي.

    هام لا تقم بتسجيل الدخول إلى النظام باستخدام حساب "مجال"، إن أمكن. بشكل خاص، لا تقم بتسجيل الدخول باستخدام حساب "مسؤول مجال". ينتحل البرنامج الضار شخصية المستخدم الذي قام بتسجيل الدخول ويصل إلى موارد الشبكة من خلال استخدام بيانات اعتماد المستخدم الذي قام بتسجيل الدخول. يسمح هذا السلوك للبرامج الضارة بالانتشار.
  2. قم بإيقاف خدمة Server. يعمل ذلك على إزالة مشاركات Admin من النظام بحيث يتعذر انتشار البرامج الضارة باستخدام هذه الطريقة.

    ملاحظة يجب تعطيل خدمة Server مؤقتًا فقط أثناء إزالة البرامج الضارة في بيئتك. يتحقق ذلك بوجه خاص على خوادم الإنتاج لأن هذه الخطوة ستؤثر على توفر مورد الشبكة. بمجرد تنظيف البيئة، من الممكن إعادة تمكين خدمة Server.

    لإيقاف خدمة Server، استخدم خدمات Services Microsoft Management Console (MMC). للقيام بذلك، اتبع الخطوات التالية:
    1. طبقًا لنوع النظام الخاص بك، قم بما يلي:
      • في نظامي التشغيل Windows Vista وWindows Server 2008، انقر فوق ابدأ، اكتب services.msc في المربع بدء البحث، ثم انقر فوق services.msc في قائمة البرامج.
      • في أنظمة التشغيل Windows 2000 وWindows XP وWindows Server 2003، انقر فوق ابدأ، انقر فوق تشغيل، اكتب services.msc، ثم انقر فوق موافق.
    2. انقر نقرًا مزدوجًا فوق Server.
    3. انقر فوق إيقاف.
    4. حدد معطل في المربع نوع بدء التشغيل.
    5. انقر فوق تطبيق.
  3. قم بإزالة كافة المهام المجدولة التي تم إنشاؤها بواسطة AT. للقيام بذلك، اكتب AT /Delete /Yes في موجه الأوامر.
  4. قم بإيقاف خدمة Task Scheduler.
    • لإيقاف خدمة Task Scheduler في أنظمة التشغيل Windows 2000 وWindows XP وWindows Server 2003، استخدم خدمات Services Microsoft Management Console (MMC) أو الأداة المساعدة SC.exe.
    • لإيقاف خدمة Task Scheduler في نظام التشغيل Windows Vista أو في نظام التشغيل Windows Server 2008، اتبع الخطوات التالية.

      هام يحتوي هذا القسم أو الطريقة أو المهمة على الخطوات التي توضح كيفية تعديل السجل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية من السجل قبل تعديله. يمكنك بعد ذلك استعادة السجل في حالة حدوث أية مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
      322756كيفية عمل نسخة احتياطية من السجل واستعادته في نظام تشغيل Windows
      1. انقر فوق ابدأ، اكتب regedit في المربع بدء البحث، ثم انقر فوق regedit.exe في قائمة البرامج.
      2. حدد موقع مفتاح التسجيل الفرعي التالي، ثم انقر فوقه:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. في جزء التفاصيل، انقر بزر الماوس الأيمن فوق إدخال بدء DWORD، ثم انقر فوق تعديل.
      4. في المربع بيانات القيمة، اكتب 4، ثم انقر فوق موافق.
      5. قم بإنهاء "محرر التسجيل"، ثم إعادة تشغيل جهاز الكمبيوتر.

        ملاحظة يجب تعطيل خدمة "جدولة المهام" بشكلٍ مؤقت فقط أثناء تنظيف البرامج الضارة في البيئة الخاصة بك. يتحقق هذا بوجه خاص على نظامي التشغيل Windows Vista وWindows Server 2008 لأن هذه الخطوة ستؤثر على العديد من "المهام المجدولة" المضمنة. وبمجرد تنظيف البيئة، قم بإعادة تمكين خدمة الخادم.
  5. قم بتنزيل التحديث الأمني رقم ٩٥٨٦٤٤ وتثبيته يدويًا (MS08-067). لمزيد من المعلومات، قم بزيارة موقع Microsoft التالي على الويب : ملاحظة قد يكون هذا الموقع محظورًا نظرًا للإصابة بالبرامج الضارة. في هذا السيناريو، يجب تنزيل التحديث من جهاز كمبيوتر غير مصاب، ثم تحويل ملف التحديث إلى النظام المصاب. نوصي بنسخ التحديث على القرص المضغوط لتعذر الكتابة فوق القرص المضغوط الذي تم نسخه. وبالتالي، لا يمكن إصابته. في حالة عدم توفر محرك أقراص مضغوطة قابل للتسجيل، قد يمثل محرك أقراص الذاكرة USB القابل للنقل الطريقة الوحيدة لنسخ التحديث إلى النظام المصاب. في حالة استخدام محرك أقراص قابل للنقل، يجب أن تكون على دراية بأن البرامج الضارة قد تصيب محرك الأقراص بملف Autorun.inf. بعد نسخ التحديث إلى محرك الأقراص القابل للنقل، تأكد من تغيير محرك الأقراص إلى وضع القراءة فقط، في حالة توفر الخيار للجهاز الخاص بك. في حالة توفر وضع القراءة فقط، يتم تمكينه عادةً باستخدام مُبدِّل فعلي في الجهاز. ثم، بعد نسخ ملف التحديث إلى جهاز الكمبيوتر المصاب، تحقق من محرك الأقراص القابل للنقل لمعرفة ما إذا كان ملف Autorun.inf موجودًا في محرك الأقراص أم لا. إذا حدث ذلك، قم بإعادة تسمية الملف Autorun.inf إلى شيء ما مثل Autorun.bad بحيث يتعذر تشغيله في حالة توصيل محرك الأقراص القابل للنقل بجهاز كمبيوتر.
  6. قم بإعادة تعيين كلمات مرور "مسؤول المجال" و"المسؤول المحلي" لاستخدام كلمة مرور قوية جديدة. لمزيد من المعلومات، قم بزيارة موقع Microsoft التالي على الويب :
  7. في "محرر التسجيل"، حدد موقع مفتاح التسجيل الفرعي التالي ثم انقر فوقه:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. في جزء التفاصيل، انقر بزر الماوس الأيمن فوق الإدخال netsvcs، ثم انقر فوق تعديل.
  9. في حالة إصابة الكمبيوتر بالفيروس Win32/Conficker، سيتم سرد اسم خدمة عشوائي.

    ملاحظة إذا أصيب الكمبيوتر بفيروس Win32/Conficker.B، يكون اسم الخدمة مكونًا من أحرف عشوائية ويكون أسفل القائمة. وإذا أصيب الكمبيوتر بمتغيرات أحدث، قد يكون اسم الخدمة في أي مكان آخر وقد يبدو أكثر شرعية. وفي حالة عدم وجود اسم الخدمة العشوائي في أسفل القائمة، قم بإجراء مقارنة بين النظام و"جدول الخدمات" في هذا الإجراء لتحديد اسم الخدمة الذي تمت إضافته بواسطة الفيروس Win32/Conficker. للتحقق من ذلك، قارن القائمة الموجودة في "جدول الخدمات" بنظام مشابه معروف بعدم إصابته.

    لاحظ اسم خدمة البرامج الضارة. سوف تحتاج إلى هذه المعلومات لاحقًا في هذا الإجراء.
  10. قم بحذف السطر الذي يتضمن المرجع إلى خدمة البرامج الضارة. تأكد من ترك تغذية سطر فارغ تحت آخر إدخال حقيقي مسرد، ثم انقر فوق موافق.

    ملاحظات حول جدول الخدمات
    • كافة الإدخالات في جدول الخدمات هي إدخالات صالحة ما عدا الإدخالات الخاصة بالعناصر المميزة بشكلٍ غامق.
    • العناصر المميزة بشكلٍ غامق عبارة عن أمثلة لما يمكن للفيروس Win32/Conficker إضافته إلى القيمة netsvcs في مفتاح التسجيل SVCHOST.
    • قد لا يمثل هذا الجدول قائمة خدمات كاملة بناءً على ما تم تثبيته على النظام.
    • جدول الخدمات مأخوذ من تثبيت افتراضي لنظام التشغيل Windows.
    • الإدخال الذي قام الفيروس Win32/Conficker بإضافته إلى القائمة عبارة عن تقنية تشويش. الإدخال الضار المميز الذي من المفترَض أن يشبه الحرف الأول عبارة عن حرف صغير "I". ومع ذلك، يظهر حرفًا كبيرًا بالفعل "L". ونظرًا للخط الذي يستخدمه نظام التشغيل، يبدو الحرف الكبير "L" وكأنه حرفًا صغيرًا "I".

    جدول الخدمات

    Windows Server 2008نظام التشغيل Windows VistaWindows Server 2003نظام التشغيل Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    النسقالنسقالمستعرضAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcالمستعرضIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservالنسقSeclogon
    وحدات البتوحدات البتTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiالنسق
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoوحدات البتWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    المستعرضProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcوحدات البت
    ProfSvcالجدول الزمنيhelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcالمستعرضxmlprov
    الجدول الزمنيhkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. في الإجراء السابق، لاحظت اسم خدمة البرامج الضارة. في المثال الخاص بنا، كان اسم إدخال البرامج الضارة هو "Iaslogon". باستخدام هذه المعلومات، اتبع الخطوات التالية:
    1. في "محرر التسجيل"، حدد موقع مفتاح التسجيل الفرعي التالي ثم انقر فوقه، حيث يكون اسم الخدمة التالفة هو اسم خدمة البرامج الضارة:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      على سبيل المثال، حدد موقع مفتاح التسجيل الفرعي التالي، ثم انقر فوقه:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. انقر بزر الماوس الأيمن في جزء التنقل لاسم خدمة البرامج الضارة، ثم انقر فوق أذونات.
    3. في مربع الحوار إدخال أذونات لـ SvcHost، انقر فوق خيارات متقدمة.
    4. في مربع الحوار إعدادات الأمان المتقدمة، انقر لتحديد كل من خانتي الاختيار التاليتين:
      توريث الكائنات التابعة إدخالات الأذونات التي يمكن تطبيقها عليها من الكائن الأصل. تضمن هذه الإدخالات مع الإدخالات المعرفة هنا بوضوح.

      استبدال إدخالات الأذونات في كافة الكائنات التابعة بالإدخالات المعروضة هنا التي يمكن تطبيقها على الكائنات التابعة.
  12. اضغط F5 لتحديث "محرر التسجيل". في جزء التفاصيل، يمكنك الآن رؤية DLL الخاص بالبرامج الضارة وتحريره والذي يتم تحميله باسم "ServiceDll". للقيام بذلك، اتبع الخطوات التالية:
    1. انقر نقرًا مزدوجًا فوق الإدخال ServiceDll.
    2. لاحظ مسار DLL المشار إليه. سوف تحتاج إلى هذه المعلومات لاحقًا في هذا الإجراء. على سبيل المثال، قد يشبه مسار DLL المشار إليه ما يلي:
       %SystemRoot%\System32\doieuln.dll
      قم بإعادة تسمية المرجع ليشبه ما يلي:
       %SystemRoot%\System32\doieuln.old
    3. انقر فوق موافق.
  13. قم بإزالة إدخال خدمة البرامج الضارة من المفتاح الفرعي Run في السجل.
    1. في "محرر التسجيل"، حدد موقع مفتاحي التسجيل الفرعيين التاليين ثم انقر فوقهما:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. في مفتاحي التسجيل الفرعيين، حدد موقع أي إدخال يبدأ بـ "rundll32.exe" ويشير أيضًا إلى DLL الخاص بالبرامج الضارة الذي يتم تحميله باسم "ServiceDll" والذي قمت بتحديده في الخطوة 12b. قم بحذف الإدخال.
    3. قم بإنهاء "محرر التسجيل"، ثم إعادة تشغيل جهاز الكمبيوتر.
  14. تحقق من وجود ملفات Autorun.inf على أية محركات أقراص موجودة على النظام. استخدم "المفكرة" لفتح كل ملف، ثم تحقق من أنه ملف Autorun.inf صالح. فيما يلي مثال على ملف Autorun.inf صالح عادي.
    [autorun]shellexecute=Servers\splash.hta *DVD*icon=Servers\autorun.ico
    عادةً يتراوح Autorun.inf الصالح من ١ إلى ٢ كيلوبايت (KB).
  15. قم بحذف أية ملفات Autorun.inf التي يبدو أنها غير صالحة.
  16. قم بإعادة تشغيل جهاز الكمبيوتر.
  17. قم بإظهار الملفات المخفية. للقيام بذلك، اكتب الأمر التالي في موجه أوامر:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. قم بتعيين إظهار الملفات والمجلدات المخفية بحيث تتمكن من رؤية الملف. للقيام بذلك، اتبع الخطوات التالية:
    1. في الخطوة 12b، لاحظت مسار الملف .dll المشار إليه الخاص بالبرامج الضارة. على سبيل المثال، لقد لاحظتَ مسارًا يشبه المسار التالي:
      %systemroot%\System32\doieuln.dll
      في برنامج Windows Explorer، قم بفتح الدليل %systemroot%\System32 أو الدليل الذي يحتوي على البرامج الضارة.
    2. انقر فوق أدوات، ثم انقر فوق خيارات المجلد.
    3. انقر فوق علامة التبويب عرض.
    4. حدد خانة الاختيار إظهار الملفات والمجلدات المخفية.
    5. انقر فوق موافق.
  19. حدد الملف .dll.
  20. قم بتحرير الأذونات على الملف لإضافة "تحكم كامل" لـ Everyone. للقيام بذلك، اتبع الخطوات التالية:
    1. انقر بزر الماوس الأيمن فوق الملف .dll، ثم انقر فوق خصائص.
    2. انقر فوق علامة التبويب أمان.
    3. انقر فوق Everyone، ثم انقر لتحديد خانة الاختيار تحكم كامل في العمود السماح.
    4. انقر فوق موافق.
  21. قم بحذف الملف .dll المشار إليه الخاص بالبرامج الضارة. على سبيل المثال، قم بحذف الملف %systemroot%\System32\doieuln.dll.
  22. قم بتمكين "خدمة النقل الذكي في الخلفية" و"التحديثات التلقائية" و"الإعلام عن الخطأ" وخدمات Windows Defender باستخدام خدمات Services Microsoft Management Console (MMC).
  23. قم بإيقاف تشغيل Autorun للمساعدة على خفض تأثير أية حالات إعادة إصابة. للقيام بذلك، اتبع الخطوتين التاليتين:
    1. قم بتثبيت أحد التحديثين التاليين، طبقًا للنظام الخاص بك:
      • إذا كنت تعمل بنظام التشغيل Windows 2000 أو Windows XP أو Windows Server 2003، قم بتثبيت التحديث رقم ٩٦٧٧١٥.لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
        967715 كيفية تعطيل وظيفة "التشغيل التلقائي" في أنظمة تشغيل Windows
      • إذا كنت تعمل بنظام التشغيل Windows Vista أو Windows Server 2008، قم بتثبيت التحديث الأمني رقم ٩٥٠٥٨٢.لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
        950582MS08-038: وجود ثغرة أمنية في "مكشف Windows" مما يسمح بتنفيذ التعليمات البرمجية عن بُعد
      ملاحظة لا يرتبط التحديث ٩٦٧٧١٥ والتحديث الأمني ٩٥٠٥٨٢ بمشكلة البرامج الضارة هذه. يجب تثبيت هذه التحديثات لتمكين وظيفة التسجيل في الخطوة رقم 23b.
    2. اكتب الأمر التالي في موجه أوامر.
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. في حالة قيام النظام بتشغيل Windows Defender، قم بإعادة تمكين موقع بدء Windows Defender التلقائي. للقيام بذلك، اكتب الأمر التالي في موجه أوامر:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
  25. بالنسبة لنظام التشغيل Windows Vista وأنظمة التشغيل اللاحقة، تعمل البرامج الضارة على تغيير الإعداد العمومي لـ "الضبط التلقائي لنافذة التلقي TCP" إلى معطَّل. لتغيير هذا الإعداد مرة أخرى، اكتب الأمر التالي في موجه الأوامر:
    netsh interface tcp set global autotuning=normal
في حالة إعادة إصابة جهاز الكمبيوتر، بعد إتمام هذا الإجراء، فقد يتحقق أحد الشرطين التاليين:
  • عدم إزالة واحد من مواقع التشغيل التلقائي. على سبيل المثال، لم تتم إزالة وظيفة AT، أو إزالة ملف Autorun.inf.
  • تثبيت التحديث الأمني لـ MS08-067 بشكل غير صحيح.
قد تعمل هذه البرامج الضارة على تغيير الإعدادات الأخرى التي لم يتم تناولها في هذه المقالة. الرجاء زيارة صفحة Microsoft Malware Protection Center التالية على الويب للحصول على أحدث التفاصيل حول الفيروس Win32/Conficker.

التحقق من نظافة النظام

تحقق من بدء الخدمات التالية:
  • التحديثات التلقائية (wuauserv)
  • خدمة النقل الذكي في الخلفية (BITS)
  • Windows Defender (windefend) (إن أمكن)
  • خدمة الإعلام عن الخطأ في Windows
للقيام بذلك، اكتب الأوامر التالية في موجه أوامر. اضغط مفتاح "الإدخال" بعد كل أمر:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

بعد تشغيل كل أمر، سوف تتلقى رسالة تشبه ما يلي:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
في هذا المثال، تشير "STATE : 4 RUNNING" إلى تشغيل الخدمة.

للتحقق من حالة مفتاح التسجيل الفرعي SvcHost، اتبع الخطوتين التاليتين:
  1. في "محرر التسجيل"، حدد موقع مفتاح التسجيل الفرعي التالي ثم انقر فوقه:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. في جزء التفاصيل، انقر نقرًا مزدوجًا فوق netsvcs، ثم قم بمراجعة أسماء الخدمات المسردة. قم بالتمرير لأسفل القائمة. في حالة إصابة الكمبيوتر بفيروس Conficker مرة أخرى، سيتم سرد اسم خدمة عشوائي. على سبيل المثال، في هذا الإجراء، يكون اسم خدمة البرامج الضارة هو "Iaslogon".
إذا لم تتمكن هاتان الخطوتان من حل المشكلة، اتصل بمورد برنامج الحماية من الفيروسات.لمزيد من المعلومات حول هذه المشكلة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
49500قائمة بموردي برامج الحماية من الفيروسات
في حالة عدم وجود مورد برنامج الحماية من الفيروسات، أو عدم قدرة مورد برنامج الحماية من الفيروسات على مساعدتك، اتصل بـ "خدمات دعم العملاء لدى Microsoft" لمزيد من المساعدة.

بعد تنظيف البيئة بشكل كامل

بعد تنظيف البيئة بشكل كامل، اتبع الخطوات التالية:
  1. إعادة تمكين خدمة الخادم وخدمة "جدولة المهام".
  2. استعادة الأذونات الافتراضية على مفتاح التسجيل SVCHOST ومجلد "المهام". يجب أن يؤدي ذلك إلى الإرجاع إلى الإعدادات الافتراضية من خلال استخدام إعدادات "نهج المجموعة". وفي حالة إزالة نهج فقط، فقد لا يمكن تغيير الأذونات الافتراضية مرة أخرى. راجع جدول الأذونات الافتراضية في القسم "خطوات للتقليل من إمكانية انتشار للفيروس" لمزيد من المعلومات.
  3. تحديث جهاز الكمبيوتر من خلال تثبيت أية تحديثات أمنية مفقودة. للقيام بذلك، استخدم Windows Update أو خادم Microsoft Windows Server Update Services (WSUS) أو Systems Management Server (SMS) أو System Center Configuration Manager (Configuration Manager 2007) أو منتج إدارة التحديث التابع لجهة أخرى. في حالة استخدام SMS أو Configuration Manager 2007، يجب إعادة تمكين خدمة Server أولاً. فيما عدا ذلك، قد يتعذر على SMS أو Configuration Manager 2007 تحديث النظام.
تحديد الأنظمة المصابة
في حالة وجود مشكلات في تحديد الأنظمة المصابة بالفيروس Conficker، قد تجد المساعدة في التفاصيل المتوفرة في مدونة TechNet التالية:
جدول الأذونات الافتراضية
يوضح الجدول التالي الأذونات الافتراضية الخاصة بكل نظام تشغيل. توجد هذه الأذونات في موضعها قبل تطبيق التغييرات التي نوصي بها في هذه المقالة. وقد تختلف هذه الأذونات عن الأذونات التي تم تعيينها في البيئة الخاصة بك. لذلك، يجب تدوين الإعدادات الخاصة بك قبل إجراء أية تغييرات. يجب إجراء ذلك بحيث يمكنك استعادة الإعدادات الخاصة بك بعد تنظيف النظام.
نظام التشغيل نظام التشغيل Windows Server 2008نظام التشغيل Windows VistaWindows Server 2003نظام التشغيل Windows XPWindows 2000
إعدادتسجيل Svchostمجلد المهامتسجيل Svchostمجلد المهامتسجيل Svchostمجلد المهامتسجيل Svchostمجلد المهامتسجيل Svchostمجلد المهام
الحساب
Administrators (مجموعة محلية)تحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كامل
النظامتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كاملتحكم كامل
Power Users (مجموعة محلية)غير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيققراءةغير قابل للتطبيققراءةغير قابل للتطبيققراءةغير قابل للتطبيق
Users (مجموعة محلية)خاص غير قابل للتطبيقخاصغير قابل للتطبيققراءةغير قابل للتطبيققراءةغير قابل للتطبيققراءةغير قابل للتطبيق
ينطبق على: هذا المفتاح والمفاتيح الفرعيةينطبق على: هذا المفتاح والمفاتيح الفرعية
قيمة الاستعلامقيمة الاستعلام
مفاتيح التعداد الفرعيةمفاتيح التعداد الفرعية
إعلامإعلام
التحكم في القراءةالتحكم في القراءة
Authenticated Usersغير قابل للتطبيقخاصغير قابل للتطبيقخاصغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيق
ينطبق على: هذا المجلد فقطينطبق على: هذا المجلد فقط
اجتياز مجلداجتياز مجلد
سرد المجلداتسرد المجلدات
سمات القراءةسمات القراءة
سمات القراءة الملحقةسمات القراءة الملحقة
إنشاء الملفاتإنشاء الملفات
أذونات القراءةأذونات القراءة
Backup Operators (مجموعة محلية)غير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقخاصغير قابل للتطبيقخاص
ينطبق على: هذا المجلد فقطينطبق على: هذا المجلد فقط
اجتياز مجلداجتياز مجلد
سرد المجلداتسرد المجلدات
سمات القراءةسمات القراءة
سمات القراءة الملحقةسمات القراءة الملحقة
إنشاء الملفاتإنشاء الملفات
أذونات القراءةأذونات القراءة
Everyoneغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقغير قابل للتطبيقخاص
ينطبق على: هذا المجلد والمجلد الفرعي والملفات
اجتياز مجلد
سرد المجلدات
سمات القراءة
سمات القراءة الملحقة
إنشاء الملفات
إنشاء المجلدات
سمات الكتابة
سمات الكتابة الملحقة
أذونات القراءة
تعليمات إضافية
  للحصول على المزيد من التعليمات حول هذه المشكلة، وإذا كنت موجودًا بالولايات المتحدة، فيمكنك التحدث مباشرة مع شخص ما من مكتب المساعدة: 
vulnerability malicious attacker exploit registry unauthenticated
خصائص

رقم الموضوع: 962007 - آخر مراجعة: 01/15/2013 19:02:00 - المراجعة: 8.0

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 1, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Service Pack 4

  • kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
تعليقات