Manager
المدير العام
عدد الرسائل : 4572
العمر : 37
ساكن فين : Egypt
مزاجي : 
المهنه : 
علم بلدك : 
الاوسمة : 
تاريخ التسجيل : 04/03/2008
 |  موضوع: اكبر اعجاز فى عالم الفيروسات  السبت نوفمبر 08, 2008 12:21 am | |
|  هنتكلم
النهارده عن اعجاز فى عالم فيروسات الشبكات وادام قولنا فيروسات واختراقات
يبقا بنتكلم خصيصا عن الدولة الرائدة فى ذلك المجال وهى دولة الصين للاسف
الصين من اكبر الدول ولقد قامت باصدار حزمة من الفيروسات متعددة المهام
والتى تدمر الشبكات وبعض هذة الاصدارات يقوم بعمل نفسه ريجسترى جديد
للويندوز ويقوم باصدار اوامر للجهاز كانه انت دا على مستوى الجهاز لكن على
مستوى الشبكات فهو ايضا يقوم بعمل نفسه روتر فيعمل على فصلان الروتر او
بمعنى اصح يقوم بعمل خمول فى الروتر ولقد قمت بتنزيل هذه الحزمة من
الفيروسات على حاسب التجربه الشخصى لى تحت عنوان قاهر الصين تحت المجهر
اكتشفنا بحمد الله بيدخل من اى بورت والان هوا مبلغ عنه فى برامج الحمايه
وتم كشفه من معظمها وعلى رأسهم برامج الافست الذى له الاولويه فى كشف تلك
الفيرس ولكن لو جهازك مصاب بالفيرس طبعا من ضمن مهامه الريجستريه انه
بيعطل الحمايه فهناك اداة مصممة بلغة دلفى على اعلى مستوى من التصميم
الحمد لله من شبكة زيزوم للامن والحمايه تقوم بتعطيل عمل الفيروس حتى يتم
تنصيب البرنامج ولكن اذا عجزت الاداة لابد من عمل فورمات للهارد ديسك او
عمل عليه فحص عن طريق جهاز اخر ولكن لابد من ازاله ملفات الريستور
والريجسترى حتى لاينسخ نفسه اليهم مرة اخرى .
ودى اصدارات الفيروس 25 فيرجن متعددين المهام
Trojan-Dropper.Win32.Agent.bbz
Virus.Win32.Xorer.dj
Trojan.Win32.Pakes.c
Virus.Win32.Xorer.x
Virus.Win32.Xorer.bu
Virus.Win32.Xorer.cb
Virus.Win32.Xorer.bs
Virus.Win32.Xorer.k
Virus.Win32.Xorer.ab
Virus.Win32.Xorer.dr
Virus.Win32.Xorer.cz
Virus.Win32.Xorer.dc
Virus.Win32.Xorer.dg
Virus.Win32.Virut.q
Virus.Win32.Xorer.dk
Virus.Win32.Xorer.ed
Virus.Win32.Xorer.ek
Virus.Win32.Xorer.ec
Virus.Win32.Xorer.dy
Virus.Win32.Xorer.cq
Virus.Win32.Xorer.ca
Virus.Win32.Xorer.eb
Virus.Win32.Xorer.b
Virus.Win32.Xorer.s
طرق الاصابة بالفايروس
تحدث الاصابة عند تشغيل احد ملفات الفايروس او اي ملف تشغيلي ( exe ) مصاب به
وتصل الينا هذه الملفات اما بتحميلها من الانترنت ,, او استخدام فلااش ميموري على جهاز مصاب
حيث تنشر الاصابة بالفايروس عند ادخالها بأي جهاز آخر
أعراض الاصابة بالفايروس
أهم هذه الاعراض: تعطيل جميع برامج الحماية ( المشهوره ) الموجوده على الجهاز
ثقل بتشغيل البرامج ,, عدم تشغيل بعض البرامج ,, اختفاء ( خيار ) اظهار ملفات النظام المخفية
ظهور الشاشة الزرقاء عند استخدام الوضع الآمن للويندوز
ويقوم الفايروس بفتح موقع صيني ,, كما بهذه الصوره
| [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة] | هذه الصورة تم تصغيرها تلقائيا . إضغط هنا لعرض الصورة بحجمها الطبيعي. أبعاد الصورة الأصلية 670x257 . |
وايضا من حركاته المزعجه ,, اظهاره لرسائل دعائية عند تصفحك للانترنت
ملفات الفايروس واماكنها
كود:
c:\037589.log
c:\894729.log
c:\118766.log
c:\119141.log
c:\118688.log
c:\118610.log
c:\122610.log
c:\122438.log
c:\118219.log
c:\118563.log
c:\118454.log
c:\119266.log
--------------------
c:\pagefile.pif
c:\pagefile.exe
c:\AUTORUN.INF
تنسخ على جميع محركات الجهاز
--------------------
--------------------
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيره
--------------------
%windir%\system32\Com\netcfg.000
%windir%\system32\Com\netcfg.dll
%windir%\system32\Com\lsass.exe
%windir%\system32\Com\smss.exe
%windir%\system32\dnsq.dll
----------------
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
????= ارقام متغيره
----------------
%Temp%\RarSFX0
%Temp%\irsetup.exe
%Temp%\@2.tmp
%windir%\system32\ntfsus.exe
%windir%\system32\wmdrtc32.dll
%windir%\system32\wmdrtc32.dl_
%windir%\system32\894729.log
%windir%\system32\118766.log
%windir%\system32\119141.log
%windir%\system32\118688.log
%windir%\system32\118610.log
%windir%\system32\122610.log
%windir%\system32\122438.log
%windir%\system32\118219.log
%windir%\system32\118563.log
%windir%\system32\118454.log
%windir%\system32\119266.log
------------------------------------------
Virus.Win32.Xorer.x النسخة
تستخدم وتستبدل ملفات الونرار بنسخه من الفايروس
%ProgramFiles%\WinRAR
ويجب حذف المجلد بالكامل
عمليات الفايروس بالذاكره ( لجميع الاصدارات )
كود:
%windir%\system32\com\lsass.exe
%windir%\system32\com\smss.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
%ProgramFiles%\winrar\uninstall.exe
%ProgramFiles%\RAR.exe
%Temp%\RarSFX0\Setup.exe
????.log
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيره
وايضا يقوم بدمج ملفه dnsq.dll بعمليات الملفات التالية
كود:
%Windir%\explorer.exe
%ProgramFiles%\messenger\msmsgs.exe
%Windir%\dns\sdnsmain.exe
%ProgramFiles%\internet explorer\iexplore.exe
%Temp%\irsetup.exe
%windir%\system32\ntfsus.exe
%windir%\system32\dllhost.exe
مفاتيح لمسجل النظام ,, يقوم بحذفها الفايروس
كود:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden]
Type = "radio"
مفاتيح لمسجل النظام ,, يقوم باضافتها الفايروس
كود:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C 4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D990123 9-34A2-448D-A000-3705544ECE9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D9 6C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC 17985-187F-4457-A841-E60BAE6359C2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{81429 3BA-8708-42E9-A6B7-1BD3172B9DDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtr l.1
ودا كان من اخطر مهام فى عالم برمجة الفيروسات ونصيحة اخيرة من شخص شغال
بعالم البرمجة اى برامج عكسية تعتبر مضرة لجهاز ومنفذ لدخول الفيروسات
والسؤال حول برامج عكسية يعنى ايه للى مش عارف البرمجة او الهندسة العكسية
زى الكراكات والبتشات وعلى ما شبه ذلك وانشالله كل يوم فى الشروحات جديد
وعندى اقتراح نفتح قسم للبرمجة ياريت عشان الناس تستفاد رجاء من الادارة .
 | |
|
ramoz
عضو جديد
عدد الرسائل : 4
العمر : 41
ساكن فين : algeria
علم بلدك : 
تاريخ التسجيل : 31/03/2010
| | موضوع: رد: اكبر اعجاز فى عالم الفيروسات الأربعاء مارس 31, 2010 4:33 pm | |
| | |
|
