قرأت رسالة الاخ نجاح محمد علي فاحببت انقل هذا الموضع

السلام عليكم ورحمه الله وبركاته.........
.
.
.
البرنامج الأول :-

VBS.Freelink or freelink

وهو يعتبر دودة مشفرة يعمل تحت اي وندو تدعم لغه ال VB scrypting حتى وندو 98 ووندو 2000 . ومعظم طرق دخولة الى جهازك عن طريق ال E-MAIL ويكون عنوان ال E-MAIL القادم اليك هو Check this وتكون الرسالة المصاحبة لهذا العنوان هي Have fun with these links. Bye فاذا قمت بفتح الرسالة فإنه يقوم مباشرة بتحميل ملفين على جهازك هما :

c:\windows\links.vbs

c:\windows\system\rundll.vbs

ايضا يضيف الجزء التالي الى جهازك على ال window registry

HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr




entVersion\Run\Rundll=RUNDLL.VBS

وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي :

Free XXX links وتحت العنوان تظهر الرسالة التالية :

This will add a shortcut to free XXX links on your desktop.

Do you want to continue

بعد ذلك يقوم هذا البرنامج بالبحث عن برامج المحادثة CHAT التالية :

MIRC32.exe

Pirch98.exe

ويعدل الملفات التالية :

SCRIPT.INI

EVENTS.INI

وذلك حتى يتمكن من ارسال ال LINKS.VBS الى اجهزة اخرى اثناء عملية المحادثات بين المستخدمين CHATTING والاسماء المستعارة لهذا البرنامج التي يتخفى بها هي :

VBS

Freelink

freelink

كيف تعرف ان هذا البرنامج موجود في جهازك وطريقة التخلص منه :

اولا : قم بالبحث عن الملفات التالية :

LINKS.VBS

RUNDLL.VBS

ثانيا : قم بألغاء تلك الملفات من جميع الدرايفات التي على جهازك .

ثالثا : قم ايضا بحذف الجزء التالي من ال win regitry باستخدام الامر regedit والجزء المراد حذفة هو :

HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr




entVersion\Run\Rundll=RUNDLL.VBS
________________________________________________
البرنامج الثاني هو : Zipped_files or explorezip trojan
وهذا البرنامج خطير من ناحية فتكه في الملفات فقد لا تجد ملف كان بالامس موجود وهو ايضا متمكن من وندو 95 ووندو 98 ووندو ان تي . وهو يستطيع نشر نفسة بنفسة باستخدام ال E-MAIL فاذا قمت بفتحة من ال E-MAIL فانة سوف يعرض الرسالة التالية :

Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.

وعندما يتمكن من نشر نفسة باستخدا م ال E-MAIL فانة يقوم بارسال نفسة مرة اخرى تحت اسم Zipped_files.exe الي جميع العناوين التي استقبلت منهم رسائل سابقة مرفقا معها الكلمات السرية والباس وورد وتحت العنوان التالي :

Hi, (username)!

I recieved your email and I shall send you a reply ASAP.

Till then, take a look at this attached zip docs.

Bye.

ايضا سوف يقوم هذا البرنامج بالغاء جميع الملفات لديك والمنتهية بالاحرف التالية : DOC,,XLS,,EXE,,PPT,,CPP وللاسف فانة صعب جدا ان تستعيد تلك الملفات باستخدام الامر undelete

الاسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي :

worm.explore.zip

win32.explore

explore.zip

طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندو 95 ووندو 98 قم بالضغط على CTRL ALT DEL وعند ظهور شاشة الاغلاق ولاحظت ظهور احدى هذه الملفات فانة موجود في جهازك والملفات هي :

Zipped_files

Explore

_setup

ويجب ان تفرق بين اسم الملف السابق Explore وبين المتصفح Explorer فاذا لاحظت احدى هذه الملفات السابقة فقم مباشرة بالغاء الملفات التالية :

C:\windows\_setup.exe

C:\windows\Explore.exe

بعد ذلك قم بالغاء الاسطر التالية والموجودة في WIN.INI باستخدام الامر msconfig والاسطر هي :

run=setup.exe

run=c:\windows\system\explore.exe

ايضا قم بالغاء السطر التالي باستخدام الامر regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre




ntVersion\Windows\Run
__________________________________________________
_____


البرنامج الثالث :Promail.Trojan
انتشر كثيرا هذا البرنامج بطريقة ال freeware و ال shareware

وقد انتشر تحت هذا الاسم proml121.zip

وهو ملف غير مضغوط داخل هذا الملف promail.exe

فاذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع اي شركة لخدمات البريد الالكترونية فان جميع المعلومات التي اعطيتها لهذه الشركة إضافة الى كلمة السر الخاصة بك يقوم هذا البرنامج بارسالها الى عنوان بريدي اخر غير معروف اي بطريقة عشوائيه . فكلما قمت بعملية اشتراك مع اي شركة اخرى لخدمات البريد الالكتروني فان البرامج يقوم بنفس العملية السابقة . فقط اذا كان لديك هذا البرنامج Promail قم مباشرة بالغاءه .

________________________________________________


البرنامج الرابع :BackDOOR.G
وهو ايضا يحتاج الى خادم لتشغيلة . ويوجد اصدارين من هذا البرنامج وللتخلص من الاصدار الاول قم مباشرة بالبحث عن الملفات التالية وحذفها :

DATA2.EXE

TINURAK.EXE

WATCHING.DLL

وللتخلص من الاصدار الثاني قم مباشرة بالبحث عن الملفات التالية وحذفها :-

WINDOW.EXE

NODLL.EXE

SERVER_33.DLL
________________________________________________

البرنامج الخامس :K2PS.EXE
فقط يستطيع التمكن من وندو 95 ووندو 98 وقد انشر عن طريق البريد الالكتروني تحت اسم K2PS.EXE

حيث تقول رسالته الخبيثة أن هناك فيروس اسمة TX-500 وانهو برنامج مضاد لهذا الفيروس . طبعا كما تعرف هذة مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الانترنت بالاضافة الى كلمة السر الخاصة بك والغريب في هذا البرنامج أنه لا يكتفي بسرقة الباسوورد بل يغير الباسوورد فلا تستطيع الدخول مرة ثانية الى الشبكة اليس خطير هذا البرنامج . والطريقة المفضلة اذا احسست بهذا التغير قم مباشرة بتغير كلمة السر .

ثم ابحث عن هذه الملفات واحذفها مباشرة :

K2PS.EXE

K2PS.CFG


ثم باستخدام الامر regedit قم بحذف :

HKEY_LOCAL_MACHINE\Software\Microsoft\Window\Curre




ntVersion\C:\WINDOWS\SYSTEM\K2PS.EXE


_______________________

البرنامج السادس :Win32.PrettyPark
هذا البرنامج يستطيع الانتشار ايضا عن طريق البريد الالكتروني . فعند تنفذه سوف يقوم بارسال نفسة الى العناوين الموجوده في ال windows address book وسوف يخبر المستخدمين الموجودين على ال IRC عن اعدادت النظام وكلمات السر . وسوف يقوم بنسخ نفسة داخل ال windows system directory مع الملف files32.VXD ايضا سوف يقوم بتسجيل نفسة داخل ال HKEY_CLASSES_ROOT تحت اسم exefile\shell\open\command\files32.vxd

فقط قم بالغاء ذلك الاسم باستخدام الامر regedit

--------------------------------------- منقول ------------------------