تويت
السلام عليكم ورحمة الله وبركاته
بسم الله الرحمن الرحيم
بسم الله الرحمن الرحيم
تفاصيل عن الفيروس :
هذا البرنامج الضار يصيب ملفات على كمبيوتر الضحية. وهو مصمم لتنزيل وإطلاق برامج خبيثة أخرى على
كمبيوتر الضحية دون علم المستخدم أو موافقته. وهو ملف ويندوز EXE. مبرمج بلغة + +C
كيف يشتغل :
عند تشغيل الحاسب مباشرة يقيم الفيروس يقوم بانشاء ملف في فهرس النظام تحت اسم عشوائي
%System%\drivers\<rnd>.sys
والـ <rnd>يجري سلسلة عشوائية من الأحرف الكبيرة اللاتينية ، مثل "INDSNN"
وهدا الملف هو برنامج تشغيل وضع نواة حجمه 5157 بايت
وقد تم الكشف عنه من قبل Kaspersky Anti-Virus تحت اسم Virus.Win32.Sality.ag
كيف ينتشر :
هدا الفيروس يصيب ملفات ويندوز إكس بي ، دوي الامتدادت التالية
EXE
SCR
وفقط الملفات التي تحتوي على الأقسام التالية تصاب به
TEXT
UPX
CODE
و عند انتشاره ينشأ ملف ملغوم تحت اسم الملف الأصلي الموجود بداخله
ويقوم بانشاء ملف في ريجيستر الملفات المؤقتة تحت اسم
%Temp%\__Rar\.exe
وليضمن البرنامج اشتغال تلقائى يقوم بصنع نسخ عن نفسه على جميع الأقراص
تحت أسماء عشوائية تحت الامتدادات التالية
exe.
.pif.
cmd.
يتم تشغيلها تشغيلها تلقائيا كلما دخلت الأقراص
وهو أيضا يقوم بزرع ملف مخفي مع الملحقات التي يتم اختيارها عشوائيا
في مجلدات جدر الأقراص تحت اسم :
autorun.inf
وبهدا عند دخول القرص C مثلا يتم تشغيل الفيروس عن طريق الأمر التلقائي الدي
يقوم بتنفيده Autorun.inf
مضمون الفيروس :
يحتوي الفيروس على روابط خبيثة يقوم بالتحميل منها تحديثاته
ويقوم بتنزيل الملفات التالية :
Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu
وقد صممت جميع هذه البرامج الخبيثة لتوزيع البريد المزعج (SPAM)
وبصرف النظر عن عن مايقوم بتحميله ، يمكن للفيروس تعديل مجموعة من المعلومات في نظام التشغيل
بما في ذلك ما يلي :
1-تعطيل إدارة المهام ومنع تحرير تسجيل النظام عن طريق تعديل معلمات التسجيل التالية:
[HKÑU\Software\Microsoft\Windows\CurrentVers ion\Po licies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
2-تعديل الإعدادات من مركز أمن الويندوز عن طريق إنشاء مفتاح التسجيل التالي :
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
3-ضمان أن لا يتم عرض الملفات المخفية وذلك بإضافة المعلمة التالية لنظام التسجيل :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
Advanced]
"Hidden"=dword:00000002
4-يثبت خيارات على المتصفح الافتراضي تطلق دائما في وضع الاتصال ،
ويضيف التسجيل التالي الى الريجيستري :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]
"GlobalUserOffline"=dword:00000000
5-تعطيل البرنامج التحكم في حساب المستخدم بواسطة تعيين مفتاح التسجيل "EnableLUA" to “0” :
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system]
"EnableLUA"=dword:00000000
6-ويضيف التقرير نفسه إلى جدار الحماية ويندوز كتطبيق يسمح بالوصول إلى الشبكة.
و للقيام بذلك فإنه يحفظ المعلمة التالية في مفتاح التسجيل:
[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
"<the path to the virus’s original file>"
= "<the path to the virus’s original file>:*:Enabled:ipsec
"
حيث إنه ينشئ مفاتيح التسجيل فيه مخازن البيانات التشغيلية
HKCU\Software\<rnd>
حيث <rnd>-- هو قيمة التعسفي.
7-يبحث عن ملف يدعى WinDir%\system.ini :
ويضيف السجل التالي له
[MCIDRV_VER]
DEVICEMB=509102504668 (any arbitrary number
)
8-يحذف مفاتيح التسجيل التالية ، مما يجعل من المستحيل الدخول بالكمبيوتر المصاب في الوضع الآمن :
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
9-حذف الملفات تحت امتداد *exe. & .rar* من المجلد للمستخدم الحالي المؤقت :
%Temp%\
كيفية القضاء على الفيروس :
Antivirus PLUS
Version final
من شركة RockstarBoy
:
http://hotfile.com/dl/41325620/e02a4...up_RW.zip.html
وبعدها سيقوم بعمل تحديث سريع
وبعد دلك قم بعمل سكان للكمبيوتر ولا تمل أبدا حتى ولو طالت مدة السكان
وسيتم سحق الفيروس نهائيا
مثال أنا استغرقت2ساعة على قرص 200 GB
هذا البرنامج الضار يصيب ملفات على كمبيوتر الضحية. وهو مصمم لتنزيل وإطلاق برامج خبيثة أخرى على
كمبيوتر الضحية دون علم المستخدم أو موافقته. وهو ملف ويندوز EXE. مبرمج بلغة + +C
كيف يشتغل :
عند تشغيل الحاسب مباشرة يقيم الفيروس يقوم بانشاء ملف في فهرس النظام تحت اسم عشوائي
%System%\drivers\<rnd>.sys
والـ <rnd>يجري سلسلة عشوائية من الأحرف الكبيرة اللاتينية ، مثل "INDSNN"
وهدا الملف هو برنامج تشغيل وضع نواة حجمه 5157 بايت
وقد تم الكشف عنه من قبل Kaspersky Anti-Virus تحت اسم Virus.Win32.Sality.ag
كيف ينتشر :
هدا الفيروس يصيب ملفات ويندوز إكس بي ، دوي الامتدادت التالية
EXE
SCR
وفقط الملفات التي تحتوي على الأقسام التالية تصاب به
TEXT
UPX
CODE
و عند انتشاره ينشأ ملف ملغوم تحت اسم الملف الأصلي الموجود بداخله
ويقوم بانشاء ملف في ريجيستر الملفات المؤقتة تحت اسم
%Temp%\__Rar\.exe
وليضمن البرنامج اشتغال تلقائى يقوم بصنع نسخ عن نفسه على جميع الأقراص
تحت أسماء عشوائية تحت الامتدادات التالية
exe.
.pif.
cmd.
يتم تشغيلها تشغيلها تلقائيا كلما دخلت الأقراص
وهو أيضا يقوم بزرع ملف مخفي مع الملحقات التي يتم اختيارها عشوائيا
في مجلدات جدر الأقراص تحت اسم :
autorun.inf
وبهدا عند دخول القرص C مثلا يتم تشغيل الفيروس عن طريق الأمر التلقائي الدي
يقوم بتنفيده Autorun.inf
مضمون الفيروس :
يحتوي الفيروس على روابط خبيثة يقوم بالتحميل منها تحديثاته
ويقوم بتنزيل الملفات التالية :
Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu
وقد صممت جميع هذه البرامج الخبيثة لتوزيع البريد المزعج (SPAM)
وبصرف النظر عن عن مايقوم بتحميله ، يمكن للفيروس تعديل مجموعة من المعلومات في نظام التشغيل
بما في ذلك ما يلي :
1-تعطيل إدارة المهام ومنع تحرير تسجيل النظام عن طريق تعديل معلمات التسجيل التالية:
[HKÑU\Software\Microsoft\Windows\CurrentVers ion\Po licies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
2-تعديل الإعدادات من مركز أمن الويندوز عن طريق إنشاء مفتاح التسجيل التالي :
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
3-ضمان أن لا يتم عرض الملفات المخفية وذلك بإضافة المعلمة التالية لنظام التسجيل :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
Advanced]
"Hidden"=dword:00000002
4-يثبت خيارات على المتصفح الافتراضي تطلق دائما في وضع الاتصال ،
ويضيف التسجيل التالي الى الريجيستري :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]
"GlobalUserOffline"=dword:00000000
5-تعطيل البرنامج التحكم في حساب المستخدم بواسطة تعيين مفتاح التسجيل "EnableLUA" to “0” :
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system]
"EnableLUA"=dword:00000000
6-ويضيف التقرير نفسه إلى جدار الحماية ويندوز كتطبيق يسمح بالوصول إلى الشبكة.
و للقيام بذلك فإنه يحفظ المعلمة التالية في مفتاح التسجيل:
[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
"<the path to the virus’s original file>"
= "<the path to the virus’s original file>:*:Enabled:ipsec
"
حيث إنه ينشئ مفاتيح التسجيل فيه مخازن البيانات التشغيلية
HKCU\Software\<rnd>
حيث <rnd>-- هو قيمة التعسفي.
7-يبحث عن ملف يدعى WinDir%\system.ini :
ويضيف السجل التالي له
[MCIDRV_VER]
DEVICEMB=509102504668 (any arbitrary number
)
8-يحذف مفاتيح التسجيل التالية ، مما يجعل من المستحيل الدخول بالكمبيوتر المصاب في الوضع الآمن :
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
9-حذف الملفات تحت امتداد *exe. & .rar* من المجلد للمستخدم الحالي المؤقت :
%Temp%\
كيفية القضاء على الفيروس :
Antivirus PLUS
Version final
من شركة RockstarBoy
http://hotfile.com/dl/41325620/e02a4...up_RW.zip.html
وبعدها سيقوم بعمل تحديث سريع
وبعد دلك قم بعمل سكان للكمبيوتر ولا تمل أبدا حتى ولو طالت مدة السكان
وسيتم سحق الفيروس نهائيا
مثال أنا استغرقت2ساعة على قرص 200 GB
أرجو الاستفادة للجمع ودمتم في رعاية الله
(منقول للافادة)
(منقول للافادة)
تعليق