الحالة
موضوع مغلق

CrazyWorm

عضو ذهبي
#1

هذي أخر فيروسات في السوق اليوم .......​
----​
الأول ...​


------------------------------- البطاقة التعريفية-------------------------​


الاسم : WORM_SDBOT.YD

النوع : Worm دودة​

تدميري : No لا <<< هذا معناه أن الملف المصاب يمكن اصلاحه​

مشهور بإسم : Win32.Slinbot.KZ

امكانية الضرر : High عالية​

امكانية التدمير: High عالية​

تقارير عن انتشاره : Low قليلة​

وبذلك فإنه يحوز على تقدير low Risk خطورة منخفضة​

-------------------------------------------------------------------------------------​
الثاني ....​

---​

------------------------------- البطاقة التعريفية-------------------------​


الاسم : Trojan.Ducky.B

النوع : Trojan Horse حصان طروادة​

تدميري : ـــــــــ​

مشهور باسم : Bloodhound.Exploit.13* Exploit.Win32.MS04-028.gen​

امكانية الضرر : Low منخفضة​

امكانية التدمير : Low منخفضة​

تقارير انتشاره : ـــــــــــــــ​

مواصفاته .. يسقط ملف system%\t2.exe % من النظام ..​
ويهاجم الأنظمة التالية ...​

Windows 2000* Windows 95* Windows 98* Windows Me* Windows NT* Windows XP​

واذا كنت مصاب به فتجد ملف باسم Bloodhound.Exploit.13 في ملفات النظام​

-------------------------------------------------------------------------------------​
الثالث ...​


------------------------------- البطاقة التعريفية-------------------------​


الاسم : PWSteal.Tarno.J

النوع : Trojan Horse حصان طروادة​

امكانية الضرر : Low منخفضة​

وتجده بين ملفات النظام باسم PWSteal.Tarno.J

وهو يهاجم جميع أنظمة ويندوز ..​

Windows 2000* Windows 64-bit (AMD64)* Windows 64-bit (IA64)* Windows 95* Windows 98* Windows Me* Windows NT* Windows Server 2003* Windows XP​

والفيروس يقوم بنسخ نفسه في ملفات النظام باسم %Windir%​

كما يقوم بإضافة القيمة "%kern64dll" = %Windows في ملفات الريجستري​
وينشأ %Windir%\HookerDll.dll الملف الرئيسي لطروادة​
ثم ينشا ملف %Windir%\Klogn.txt حيث يخزن به المعلومات المسروقة ...​

وللتأكد من أنك لاتحمله في جهازك .. اتبع الخطوات التالية ....​

start > run > regedit > HKEY_CURRENT USER >Software > Microsoft > WINDOWS >CurrentVersion > RUN
واذا وجد ملف باسم %kern64dll" = %Windows
فاعلم انك مصاب به​
_____​

----------------- البطاقة التعريفية---------------​


الاسم : Backdoor.prorat

النوع : Trojan Horse حصان طروادة​

يستهدف الانظمة التالية :​

Windows 2000* Windows 95* Windows 98* Windows Me* Windows NT* Windows XP​

طول العدوى : متغيرة​

المستوى التدميري : Medium متوسط​

قوة الانتشار : low منخفضة​

ويستهدف المنفذ ... Ports: 58343​

التفاصيل .. :-​

يتواجد في النظام باسم %System% أو %Windir%​

ثم يقوم بنسخ نفسه ويصبح​


%System%\Main.exe​
%System%\Loader.exe​
%System%\Msmsg.exe​
%System%\Winserv.dll​
%System%\Fservice.exe​
%System%\Sservice.exe​
%Windir%\Winlogon.exe​


أما عن %windir% فتجده في ملف C:\Windows أو C:\Winnt بين ملفات النظام​

أما عن %system% فيتواجد في C:\Windows\System أو C:\Winnt\System32​

ثم يضيف أحد القيم السابقةالى الرجيستري في هذه المسارات ..​

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run​

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\​
Policies\Explorer\Run​

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}​


ولتتحقق من ذلك​
اتبع الخطوات التالية ...​

Start>run>regedit>HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon​

ستجد ملف باسم​

explorer.exe %System%\Fservice.exe​

ويبدا عمله مع بدأ الويندوز​


***************************************​

أما عن كيفية التخلص منه ..​

1- الغ نظام استعادة ملفات النطام فقد تتضرر (للويندوز ME و XP )​

2- حمل آخر ابديت للانتي فيروس الي تستخدمه​

3- أعد تشغيل الجهاز في نظام الsafe mode للويندوز 98 و 95 و Me​
أو Safe mode with Command Prompt لويندوز 2000 و XP​

4- غير احداثيات الرجيستري (يعني امسح الفيروس اذا كان مسجل هناك )​

5- أعد تشغيل الكمبيوتر في الوضع العادي normal​

6- اعمل scan للفيروس .. تخلص منه .. لازم يكتب لك​
detected as Backdoor.Prorat​

ولمزيد من المعلومات اضغط هنا


----------------البطاقة التعريفية--------------​


الاسم : Backdoor.Rtkit.B

النوع : Trojan Horse حصان طروادة​

يستهدف الانظمة التالية :​


Windows 2000* Windows 95* Windows 98* Windows Me* Windows NT* WindowsXP​


المستوى التدميري : low منخفض​

سرعة الانتشار : Low منخفض​

ويصنف ضمن : Low Risk قليل الخطورة​

اسمه في ملفات النظام : %System%\com\sserver​


التفاصيييييييييييل ...:-​

هذا الفيروس أول مايتحمل على الجهاز ..​

1- ينسخ نفسه بالأسماء التالية ..​

System%\com\sserver\ntrootkit.exe %​
System%\com\sserver\globalc.dll%​
System%\com\sserver\npf.sys %​
System%\com\sserver\rtkit.log %​

في الرجيستري ....​


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTKIT​
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_NPF​
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ROOTKIT1​
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NPF​
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit​


.................................................. ....................................​
أضراره​

1- يغير كلمات السر في النظام​
2- يغير مفاتيح التسجيل في الرجستري​
3- يبدأ برفض خدمة دوس DOS في الويندوز​
4- يحصل على معلوملت النظام (جميع الباسوردات * جميع المعلومات في الرجيستري..)​

*****************************************​

وكيفية التخلص منه ...​

اتبع الخطوات التالية ....​

1- حمل أبديت النورتون أو المكافي أو البي بس سيلنت أو *******​
2 - أعمل سكان Scan للفيروس ... ووو تخلص منه ؟؟​
3- للتخلص منه منالرجيستري اتبع التالي : -​

Start> Run > Regedit> ok​

ابحث عن التالي واحذفه ...​


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RTKIT​
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_NPF​
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ROOTKIT1​
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NPF​
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit​


4- لازالة الملف الرئيسي للفيروس ..​

واسمه %System%\com\sserver​

افتح المستكشف Explorer وابحث عن %System%\com\sserver​
وDelete ازله ..​

----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- -----​


ولاحظوا اخواني تقريبا كل يوم في فيروس​
فانتبهوا ........... الابديت نزلوه أول بأول​

----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- -----

--------------- البطاقة التعريفية ---------------​


الاسم : W32.Jeefo

-- في الMcAfee يعرف بـ : W32/Jeefo أما في ال Trend : PE_JEEFO.A

النوع : Virus فيروس​

يتواجد بحجم : 36*352 bytes (يعني مانحس فيه بالمرة )​

يهجم على الأنظمة : Windows 95* Windows 98* Windows ME* Windows NT* Windows 2000* Windows XP​

وهذا الفيروس نزل يوم : June 03* 2003 > 3\6\2003 << قديييم​

سرعة الانتشار : Low منخفضة​

مستوى الخطر : Low منخفض​

يصنف ضمن : Low Risk خطورة منخفضة​

يتواجد في النظام باسم .. :: Svchost.exe يعني بتحصله يشتغل في البرنامج Svchost.exe الي هو تقريبا عصب الاويندوز​
%Windir% وهذا الملف الي بتحصله فيه​

---------------​
أول خطواته ينتظر من المضيف (حامل الوباء)​
انه يشغل البرنامج الحامل له​
..​
يمسح أي آثار له ويضيف القيمة التالية للرجيستري ..​

"PowerManager"="%windir%\svchost.exe"

في المسار أو المفتاح ..​


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\​
RunServices​



يعني ان هذا الفيروس يشتغل كل مرة تعيد الجهاز Restart أو تشغل الجهاز ..​

في الانظمة Windows NT/2000/XP​

يصيب الملفات ويتحكم في نظام الطاقة للويندوز Power Manager​
------------------------​

للتخلص منه​

نفس الخطوات الي أقولها في كل مرة​
1- تحمل الابديت​
2- تدخل من الsafe mode (ملاحظة اذا كنت في الSafe mode تقدر تنقل ملفاتك من ال \:C أي من المكان الي عليه الويندوز .. بدون أي خطورة يعني اذا حبييت تسوي فورمات للجهاز
)​

وتمسح القيمة "PowerManager"="%windir%\svchost.exe"
من الرجيستري من المفتاح أو المسار المذكور بالأعلى​
3- تعيد تشغيل الجهاز في النظام العادي​
4- تعمل Scan للفيروس وووو ........................​

الباقي عليك​

----------------------- البطاقة التعريفية -----------------------​


الاسم : W32.Bagz@mm

النوع : Worm دودة​

المستوى التدميري : Low منخفض لكن​

مستوى الانتشار أو سرعة الانتشار : High عااااااااااااالية << كلها اسبوع ويكون في الشرق الأوسط​

يهجم الأنظمة :​


Windows 2000* Windows 95* Windows 98* Windows Me* Windows NT* Windows XP​


أول شيء يسويه مثله زي أي فيروس ...​

1- ينسخ نفسه باسم System%\tutorial.doc <spaces> .exe%​
بين ملفات النظام ..​

2- يضيف القيمة "syslogin.exe" = "syslogin.exe"​
الي الرجيستري في المفتاح أو المسار​

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run​

وبالتالى يستطيع العمل في كل مرة تبدأ فيها تشغيل الجهاز .​

بنشىء الملفات​
System%\dl.exe%​
System%\syslogin.exe%​

بين ملفات النظام​
4- يعطل عمل الجدار الناري للويندوز Windows FireWall​

5- يحمل ملفاته من الشبكة حتى يتم التحميل ...​

6- ثم يهجم ملفات بالمتدادات .......​

.txt​
.dbx​
.tbi​
.tbb​


ويرسلها الى أيميل المضيف للفيروس ...​

تكون الرسالة غالبا بأسم المرسل ... ( spoofed )​

ويكون عنوان الرسالة أحد العناوين التالية ....​


Re: User ID Update​
Fwd: Your Funds are Eligible for Withdrawal​
find a solution with this customer​
No Subject​
Re: Help Desk Registration​
failure notice​
Fwd: Password​
when should i call you?​
RE: Re: A question​
Knowledge Base Article​
Open Invoices​
Returned mail: see transcript for details​
building maintenance​
[Fwd: Broken link]​
WinXP​
troubles are back again​
Questions​
Order Approval​
units available​
progress news​
big announcements​
Need help pls​
You have recieved an eCard!​
What is this ????​
Deactivation Notice​
Message recieved* please confirm​
My funny stories​
Cost Inquiry​
Re: payment​
referrences​
Webmail Invite​
RE: quote request​


وبأحد المرفقات التاالية أيضا ..​


Ctutorial.doc <spaces> .exe​
doc.doc <spaces> .exe​
documents.doc <spaces> .exe​
atach.doc <spaces> .exe​
file.doc <spaces> .exe​
read.doc <spaces> .exe​
readme.doc <spaces> .exe​
contact.doc <spaces> .exe​
mail.doc <spaces> .exe​
att.doc <spaces> .exe​
warning.doc <spaces> .exe​
db.doc <spaces> .exe​
msg.doc <spaces> .exe​
message.doc <spaces> .exe​
messages.doc <spaces> .exe​
archive.doc <spaces> .exe​
arch.doc <spaces> .exe​
support.doc <spaces> .exe​
account.doc <spaces> .exe​
doc.zip​
documents.zip​
atach.zip​
file.zip​
read.zip​
readme.zip​
contact.zip​
mail.zip​
att.zip​
warning.zip​
db.zip​
msg.zip​
message.zip​
messages.zip​
archive.zip​
arch.zip​
support.zip​
account.zip​


هذا .... أما عن محتوى الرسالة << الكلام​


Hello*​
Sorry* I forgot to attach the new contact information.​
Please view the attached (.pdf) contact sheet.​
Sincerely*​
User​

------------------------​
Hello*​
I resent this email as attachment because​
it was previously blocked by your email filters.​
Please read the attachment and respond.​
Thanks*​
User​

----------------------​
Hello*​
I was in a hurry and I forgot to attach an important​
document. Please see attached.​
Best Regards*​
User​

----------------------​
Hello*​
Your email was received.​
YOUR REPLY IS URGENT!​
Please view the attached text file for instructions.​
Regards*​
User​

----------------------​
Hello*​
Your email was sent in an INVALID format.​
To verify this email was sent from you*​
simply open the attached email (.eml) file​
and click yes in the sender options box.​
Thank You*​
User​

----------------------​
Hello*​
My PC crashed while I was sending that last email.​
I have re-attached the document of yours that I discovered.​
Please read attached document and respond ASAP.​
Sincerely*​
User​

---------------------​
Hello*​
What version of windows you are using?​
This last document I received from you came out weird.​
Please see the attached word file and resend the file to me.​
Many thanks*​
User​

---------------------​
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***​
Hello*​
The previous email you sent has been recognized as spam.​
This means your email was not delivered to your friend or client.​
You must open the attached file to receive more information.​
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***​

***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***​
You are currently unable to send emails.​
This may be a billing issue.​
Please call the billing center.​
The # for the billing office is located in the attached​
contact list for your convenience.​
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***​

***URGENT: SERVICE SHUTDOWN NOTICE***​
Due to your failure to comply with our email​
Rules and Regulations* your email account has been​
temporarily suspended for 24 hours unless we are contacted regarding​
this situation.​
You must read the attached document for further​
instructions. Failure to comply will result in termination of your account.​
Regards*​
Net Operator​
***URGENT: SERVICE SHUTDOWN NOTICE***​

last request before refunding​



-----------------------------------------------------------------------​


أما لازالة هذا الفيروس​

اتبع الخطوات في أي من المقالات السابقة ...​

غير أن كيفية ازالته من الرجيستري ... تختلف ... <<< أكيد مش عايزة سؤال​

بتدخل على المفتاح ...​

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run​

وتمسح ..:-​

"syslogin.exe" = "syslogin.exe" وانتهت المشكلة ...​
 

alhoodhod

الوسـام الذهبي
#2
بارك الله فيك
 

arabqatar

عضو محترف
#3
مشكور يعطيك العافيه :)
 

New star

Administrator
طاقم الإدارة
#4
مشكور أخوي على المعلومات بارك الله بك
 

sikovluv

الوسـام الماسـي
#5
ألف شكر أخي العزيز على هذه المعلومات المهمة
 
الحالة
موضوع مغلق

أعلى