ملف Cfgwiz32.exe المزيف, من ملفات التجسس

الكاتب : أبو مروان   المشاهدات : 461   الردود : 2    ‏2002-03-09
      مشاركة رقم : 1    ‏2002-03-09
  1. أبو مروان

    أبو مروان عضو

    التسجيل :
    ‏2001-05-29
    المشاركات:
    81
    الإعجاب :
    0
    يوجد العديد من المواقع التى تحتوى على برامج مجانية تستخدم فى اختراق و تدمير اجهزة الحاسب الآلى و قد انتشر فى الفترة الأخيرة احدى هذه البرامج المدمرة و التى يتم الحصول عليها من احدى هذه المواقع و البرنامج عبارة عن ملف مضغوط بأسم hatfull.zip و يحتوى هذا الملف المضغوط على ملفين الأول بأسم Server.exe و الثانى باسم Hack'a'Tack.exe حيث يقوم الهكير بارسال الملف الأول الى الضحية و يستخدم الملف الثانى فى عملية الأختراق و عادة ما يقوم الهاكرز بتغير اسم الملف من Server.exe الى Game.exe على سبيل المثال و بذلك تظن الضحية(المستخدم) ان هذا البرنامج ما هو الا لعبة شيقة فيقوم بتشغيلها و هنا تحدث الكارثة و الأن دعنا نطرح هذه الأسئلة:

    س1- ما الدور الذى يقوم به الملف الاول Server.exe ؟
    س2- كيف نتمكن من ازالة هذا البرنامج وحمابة الكمبيوتر؟

    اولا: الدور الذى يقوم به الملف الأول Server.exe يمكن تلخيصة فيما يلى:
    يقوم الملف الأول Server.exe بوضع ملف يسمى Cfgwiz32.exe فى مسار الويندز و هذه هى الخدعة الكبرى .. لماذا ؟ لوجود ملف بنفس الأسم فى مسار السيستيم(System) و هو بالطبع غير ضار على الأطلاق، و لكن هنا خبر سار الا و هو أن هناك معايير للتفرقة بين الملف الأصلى و الملف المزيف يمكن توضيحها فى هذا الجدول
     
  2.   مشاركة رقم : 2    ‏2002-03-09
  3. أبو مروان

    أبو مروان عضو

    التسجيل :
    ‏2001-05-29
    المشاركات:
    81
    الإعجاب :
    0
    يتبع

    وبناء عليه فإن ملف Cfgwiz32.exe المزيف هو همزة الوصل بين الهاكرز و الضحية و لكن كيف يعمل هذا البرنامج و من المسئول عن تشغيله، و المسألة فى غاية البساطة فعند تشغيل الملف المسمى Server.exe يقوم بتحرير جملة فى ريجسترى(Registry) الويندوز تقوم هذه الجملة بتشغليل البرنامج بطريقة ذاتيه وهذا ما سنقوم بتوضيحه لاحقا.

    ثانيا: كيف نتمكن من ازالة هذا البرنامج وحمابة الكمبيوتر.
    لعمل ذلك يمكن اتباع الطريقة التالية:
    حذف الملف Cfgwiz32.exe المزيف(الموضحه مواصفاته فى الجدل أعلاه) و لكن لن نتمكن من حذفه من خلال الويندوز .. لماذا؟ لسببين الأول لأن الويندوز يعنقد ان هذا الملف جزء منه و هذه هى الخدعة الثانية و السبب الثانى أن الملف قيد العمل بالذاكرة , و لذلك سيقوم الويندوز بتحرير النموذج(form) التالى عند محاولة ازالة الملف.
     
  4.   مشاركة رقم : 3    ‏2002-03-09
  5. أبو مروان

    أبو مروان عضو

    التسجيل :
    ‏2001-05-29
    المشاركات:
    81
    الإعجاب :
    0
    الخطوة الاخيرة

    لا تنزعج فيمكنك ازالة هذا الملف عن طريق موجة الدوس بلا اى مشاكل عن طريق الأمر التالى:
    del Cfgwiz32.exe
    مع مراعاة الأتجاه الى الدليل ويندوز قبل كتابة الأمر السابق

    ثم نقوم بحذف جملة الريجسترى التى تقوم بتشغيل الملف ذاتيا عن طريق اتباع الأتى:
    1- إنقر على زر Start ( إبدأ ) تم إختر Run (تشغيل) وأكتب regedit ثم إنقر ok
    2- ستظهر لك شاشة محرر التسجيل ... إذهب الى الإمتداد التالي :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    وذلك كما في الشكل التالي :
     

مشاركة هذه الصفحة