ما اكتبه هنا هو عبارة عن تجربة مريرة خضتها على مدى عطلة الاسبوع الفائته و احببت ان اشارككم اياها .....
احد زملائي اخبرني بانه يرى ملف اسمه folder.htt في كل مجلد يفتحه على الوندوز و لا يستطيع ان يفتحه ليرى ما في داخلة حيث تظهر له الرسالة المعروفة access denied اي ان الوصول الى هذا الملف ممنوع ..... اضافة للملف folder.htt فانه يجد ايضا ملف اسمه desktop.ini .... وهذا الملف يمكنه فتحه لكنه لا يجد فيه اكثر من 5 سطور ولا تشكل اي خطر من وجهه نظرة .... فكان سؤاله لي هل هذا فيروس او لا ....... واذا كان فيروسا فهل يمكن ازالته و ما مدى الضرر الذي يلحقه بالجهاز ......
طبعا في البداية تذكرت اني قد رايت هذا الملف (folder.htt ) في اكثر من جهاز على مقاهي انترنت ولكني لم اكترث حينها له ولم احاول حتى فتحه ..... لهذا وافقت ان اذهب مع صديقي الى غرفته لنكشف على الجهاز ونرى ما المشكلة ....
اول مجموعة ملاحظات كانت التالي ....
- الملفين desktop.ini و folder.htt ملفان مخفيان لكنهما يظهران لان صديقي اختار ان يظهر الملفات المخفية من قائمة tools>>folderOptions ..... ولولا انه اختار اظهار كافة الملفات منذ زمن لما لاحظ وجود الملفين (عندما تختار اظهار كافة الملفات تظهر الملفات المخفية اصلا بلون باهت مقارنه مع بقية الملفات)
- عند انشاء مجلد جديد فارغ في اي مكان على الجهاز ثم فتح المجلد نجد الملفان موجودان في داخله. ولكن عند انشاء مجلد جديد فارغ عن طريق الـ DOS ثم استعراض الملفات التي بداخلة من على الـ DOS ايضا لا نجد الملفين ولكن ما ان نستعرض المجلد نفسه من الوندوز ثم نعود و نستعرضه من الدوس حتى نجد انهما اصبحا موجودين في داخله.
- حجم الملف folder.htt حوالي 15 KB .
- الملف folder.htt لا يمكن فتحه ولا حذفه لا من الدوس و لا من الوندوز.
- الجهاز اصبح بطيئا بشكل ملحوظ عند فتح مجلد حتى ولو كان فارغا.
- عند ادخال قرص مرن في محرك الاقراص فانك بمجرد فتحه تجد الملفين موجودين في كل مجلد من مجلدات القرص المرن.
الآن بدأت فعليا اشك في انه فيروس,لكن جهاز صديقي عليه McAfee Anti Vairus ولم يعلن عن وجود فيروس في الجهاز ثم انني تذكرت شيئ مهم ....
اذكر منذ زمن انه يمكننا تخصيص مجلد ما من داخل الوندوز بحيث يظهر بشكل مختلف عن بقية المجلدات عندما نفتحه .... اقصد يكون له صورة معينة بدل الخلفية البيضاء العادية و يتغير لون و نوع الخط الذي تظهر به اسماء الملفات...... عندما قرأت اسم الملف folder.htt ربطت بينه و بين هذه الميزة و اعتقدت ان الوندوز تنشئ هذا الملف و تحفظه في اي مجلد نقوم بتخصيصه اي انه ليس فيروسا وانما احد ملفات الوندوز المعروفة ....
وجدت ان استنتاجي المبدئي كان صحيحا عندما عدت الى جهازي السليم و بحثت عن ملف اسمه folder.htt ووجدته .... لكن المشكلة اني لم اجد سوى عدد قليل من الملفات وكلها لم يقل حجمها عن 20 KB .....
ففكرت بعمل تجربة .... جهازي يعمل عليه Norton Anti Vairus 2003 ....
فقررت ان اجازف بادخال القرص المرن الذي جلبته من جهاز صديقي .... وبمجرد ان ادخلته ظهرت لي شاشه الـ Norton المشهورة التي تحذرك من وجود فيروس .... وكانت كما توقعت .... !!
الملف folder.htt مصاب بالفيروس html.redlof.a .... ولا يمكن اصلاحه ....
الآن تأكدت من صحه استنتاجي ...... فضغطت مباشرة على الرابط في الرسالة و الذي يأخذني الى موقع symantec و يقدم شرحا وافيا عن الفيروس المذكور .... وهذه هي الصفحة
http://securityresponse.symantec.com/avcenter/venc/data/html.redlof.a.htmlيعتبر هذا الفيروس من اخطر الانواع من ناحية الانتشار وهو يسمى polymorphic اي متعدد التشكل او عديد التشكل .... المهم انه من النوع الذي يقوم بانشاء نسخ من نفسه و ينتشر بهذه الطريقه .....
وهذه بعض المعلومات عنه
حللتها .....لكن بفضل الله تم حلها في النهاية و التخلص منه
موضوع: كيف تتخلص من الفيروس html.redlof.a. او folder.htt يدوياً 
الأحد يونيو 14, 2009 2:37 pm
