|
-
برامج إختراق الاجهزه وطرق كشفها
قرأت رسالة الاخ نجاح محمد علي فاحببت انقل هذا الموضع
السلام عليكم ورحمه الله وبركاته.........
.
.
.
البرنامج الأول :-
VBS.Freelink or freelink
وهو يعتبر دودة مشفرة يعمل تحت اي وندو تدعم لغه ال VB scrypting حتى وندو 98 ووندو 2000 . ومعظم طرق دخولة الى جهازك عن طريق ال E-MAIL ويكون عنوان ال E-MAIL القادم اليك هو Check this وتكون الرسالة المصاحبة لهذا العنوان هي Have fun with these links. Bye فاذا قمت بفتح الرسالة فإنه يقوم مباشرة بتحميل ملفين على جهازك هما :
c:\windows\links.vbs
c:\windows\system\rundll.vbs
ايضا يضيف الجزء التالي الى جهازك على ال window registry
HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr
entVersion\Run\Rundll=RUNDLL.VBS
وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي :
Free XXX links وتحت العنوان تظهر الرسالة التالية :
This will add a shortcut to free XXX links on your desktop.
Do you want to continue
بعد ذلك يقوم هذا البرنامج بالبحث عن برامج المحادثة CHAT التالية :
MIRC32.exe
Pirch98.exe
ويعدل الملفات التالية :
SCRIPT.INI
EVENTS.INI
وذلك حتى يتمكن من ارسال ال LINKS.VBS الى اجهزة اخرى اثناء عملية المحادثات بين المستخدمين CHATTING والاسماء المستعارة لهذا البرنامج التي يتخفى بها هي :
VBS
Freelink
freelink
كيف تعرف ان هذا البرنامج موجود في جهازك وطريقة التخلص منه :
اولا : قم بالبحث عن الملفات التالية :
LINKS.VBS
RUNDLL.VBS
ثانيا : قم بألغاء تلك الملفات من جميع الدرايفات التي على جهازك .
ثالثا : قم ايضا بحذف الجزء التالي من ال win regitry باستخدام الامر regedit والجزء المراد حذفة هو :
HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr
entVersion\Run\Rundll=RUNDLL.VBS
________________________________________________
البرنامج الثاني هو : Zipped_files or explorezip trojan
وهذا البرنامج خطير من ناحية فتكه في الملفات فقد لا تجد ملف كان بالامس موجود وهو ايضا متمكن من وندو 95 ووندو 98 ووندو ان تي . وهو يستطيع نشر نفسة بنفسة باستخدام ال E-MAIL فاذا قمت بفتحة من ال E-MAIL فانة سوف يعرض الرسالة التالية :
Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.
وعندما يتمكن من نشر نفسة باستخدا م ال E-MAIL فانة يقوم بارسال نفسة مرة اخرى تحت اسم Zipped_files.exe الي جميع العناوين التي استقبلت منهم رسائل سابقة مرفقا معها الكلمات السرية والباس وورد وتحت العنوان التالي :
Hi, (username)!
I recieved your email and I shall send you a reply ASAP.
Till then, take a look at this attached zip docs.
Bye.
ايضا سوف يقوم هذا البرنامج بالغاء جميع الملفات لديك والمنتهية بالاحرف التالية : DOC,,XLS,,EXE,,PPT,,CPP وللاسف فانة صعب جدا ان تستعيد تلك الملفات باستخدام الامر undelete
الاسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي :
worm.explore.zip
win32.explore
explore.zip
طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندو 95 ووندو 98 قم بالضغط على CTRL ALT DEL وعند ظهور شاشة الاغلاق ولاحظت ظهور احدى هذه الملفات فانة موجود في جهازك والملفات هي :
Zipped_files
Explore
_setup
ويجب ان تفرق بين اسم الملف السابق Explore وبين المتصفح Explorer فاذا لاحظت احدى هذه الملفات السابقة فقم مباشرة بالغاء الملفات التالية :
C:\windows\_setup.exe
C:\windows\Explore.exe
بعد ذلك قم بالغاء الاسطر التالية والموجودة في WIN.INI باستخدام الامر msconfig والاسطر هي :
run=setup.exe
run=c:\windows\system\explore.exe
ايضا قم بالغاء السطر التالي باستخدام الامر regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Windows\Run
__________________________________________________
_____
البرنامج الثالث :Promail.Trojan
انتشر كثيرا هذا البرنامج بطريقة ال freeware و ال shareware
وقد انتشر تحت هذا الاسم proml121.zip
وهو ملف غير مضغوط داخل هذا الملف promail.exe
فاذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع اي شركة لخدمات البريد الالكترونية فان جميع المعلومات التي اعطيتها لهذه الشركة إضافة الى كلمة السر الخاصة بك يقوم هذا البرنامج بارسالها الى عنوان بريدي اخر غير معروف اي بطريقة عشوائيه . فكلما قمت بعملية اشتراك مع اي شركة اخرى لخدمات البريد الالكتروني فان البرامج يقوم بنفس العملية السابقة . فقط اذا كان لديك هذا البرنامج Promail قم مباشرة بالغاءه .
________________________________________________
البرنامج الرابع :BackDOOR.G
وهو ايضا يحتاج الى خادم لتشغيلة . ويوجد اصدارين من هذا البرنامج وللتخلص من الاصدار الاول قم مباشرة بالبحث عن الملفات التالية وحذفها :
DATA2.EXE
TINURAK.EXE
WATCHING.DLL
وللتخلص من الاصدار الثاني قم مباشرة بالبحث عن الملفات التالية وحذفها :-
WINDOW.EXE
NODLL.EXE
SERVER_33.DLL
________________________________________________
البرنامج الخامس :K2PS.EXE
فقط يستطيع التمكن من وندو 95 ووندو 98 وقد انشر عن طريق البريد الالكتروني تحت اسم K2PS.EXE
حيث تقول رسالته الخبيثة أن هناك فيروس اسمة TX-500 وانهو برنامج مضاد لهذا الفيروس . طبعا كما تعرف هذة مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الانترنت بالاضافة الى كلمة السر الخاصة بك والغريب في هذا البرنامج أنه لا يكتفي بسرقة الباسوورد بل يغير الباسوورد فلا تستطيع الدخول مرة ثانية الى الشبكة اليس خطير هذا البرنامج . والطريقة المفضلة اذا احسست بهذا التغير قم مباشرة بتغير كلمة السر .
ثم ابحث عن هذه الملفات واحذفها مباشرة :
K2PS.EXE
K2PS.CFG
ثم باستخدام الامر regedit قم بحذف :
HKEY_LOCAL_MACHINE\Software\Microsoft\Window\Curre
ntVersion\C:\WINDOWS\SYSTEM\K2PS.EXE
_______________________
البرنامج السادس :Win32.PrettyPark
هذا البرنامج يستطيع الانتشار ايضا عن طريق البريد الالكتروني . فعند تنفذه سوف يقوم بارسال نفسة الى العناوين الموجوده في ال windows address book وسوف يخبر المستخدمين الموجودين على ال IRC عن اعدادت النظام وكلمات السر . وسوف يقوم بنسخ نفسة داخل ال windows system directory مع الملف files32.VXD ايضا سوف يقوم بتسجيل نفسة داخل ال HKEY_CLASSES_ROOT تحت اسم exefile\shell\open\command\files32.vxd
فقط قم بالغاء ذلك الاسم باستخدام الامر regedit
--------------------------------------- منقول ------------------------
ضوابط المشاركة
- لا تستطيع إضافة مواضيع جديدة
- لا تستطيع الرد على المواضيع
- لا تستطيع إرفاق ملفات
- لا تستطيع تعديل مشاركاتك
-
قوانين المنتدى
|
|