فايروس جديد وخطير

الكاتب : YemenHeart   المشاهدات : 550   الردود : 3    ‏2003-01-03
      مشاركة رقم : 1    ‏2003-01-03
  1. YemenHeart

    YemenHeart مشرف سابق

    التسجيل :
    ‏2001-08-04
    المشاركات:
    1,891
    الإعجاب :
    5
    اولا المعذره منكم لقلة مشاركاتي والله معي فصل دراسي صعب صعب مره
    فالمعذره منكم
    ***************
    المواصفات الفنية للفيروس المواصفات الفنية للفيروس


    تشغيل فيروس ياماها اول شي يقوم بنسخ نفسه في في ملفات مخفية بهذه الاسماء والامكان
    C:\%System%\WinServices.exe.
    C:\%System%\Nav32_loader.exe
    C:\%System%\Tcpsvs32.exe

    يقوم بتحديد مكان مجلد الوندوز وينسخ نفسه في هذه الموقع بصفة ثابته
    وذلك حسب اصدار الوندوز
    NOTE: %System% is a variable. The worm locates the Windows system folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows 2000/NT/), or C:\Windows\System32 (Windows XP).


    يقوم بعمل صيغة وقانون في الرجستري بالقيمة التالية
    WinServices.exe C:\%System%\WinServices.exe

    وفي الرجستري في هذه المواقع


    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
    entVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
    entVersion\RunServices

    وبذلك يقوم الفيروس بتشغيل نفسه كل مرة تقوم بتشغيل الجهاز فيها

    يقوم الفيروس باعداد نفسه ليقوم بتشغيل نفسه كل مرة على اساس انه ملف تطبيقي وذلك بتغير قيمته الخاصة في الرجستري
    HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\
    open\command
    to
    C:\%System%\WinServices.exe"%1 %*

    وقد يقوم الفيروس بنسخ نفسه في مجلد
    \Windows\System
    بهذه الاسماء
    Hotmail_hack.exe
    Friendship.scr
    World_of_friendship.scr
    Shake.scr
    Sweet.scr
    Be_happy.scr
    Friend_finder.exe
    I_like_you.scr
    Love.scr
    Dance.scr
    Gc_messenger.exe
    True_love.scr
    Friend_happy.scr
    Best_friend.scr
    Life.scr
    Colour_of_life.scr
    Friendship_funny.scr
    Funny.scr

    وظيفة الفيروس


    يقوم الفيروس باغلاق ملفات مكافحة الفيروسات والحماية وذلك بعمل قانون لها يمنعها من ايقاف اي ملف يحمل اي من الاسماء التالية
    REGEDIT
    ACKWIN32
    F-AGNT95
    SWEEP95
    VET95
    N32SCANW
    _AVPM
    LOCKDOWNADVANCED
    NSPLUGIN
    NSCHEDNT
    NRESQ32
    NPSSVC
    NOD32
    _AVPCC
    _AVP32
    NORTON
    NVC95
    FP-WIN
    IOMON98
    PCCWIN98
    F-PROT95
    F-STOPW
    PVIEW95
    NAVWNT
    NAVRUNR
    NAVLU32
    NAVAPSVC
    NISUM
    SYMPROXYSVC
    RESCUE32
    NISSERV
    VSECOMR
    VETTRAY
    TDS2-NT
    TDS2-98
    SCAN32
    PCFWALLICON
    NSCHED32
    IAMSERV.EXE
    FRW.EXE
    MCAFEE
    ATRACK
    IAMAPP
    LUCOMSERVER
    LUALL
    NMAIN
    NAVW32
    NAVAPW32
    VSSTAT
    VSHWIN32
    AVSYNMGR
    AVCONSOL
    WEBTRAP
    POP3TRAP
    PCCMAIN
    PCCIOMON
    ESAFE.EXE
    AVPM.EXE
    AVPCC.EXE
    AMON.EXE
    ALERTSVC
    ZONEALARM
    AVP32
    LOCKDOWN2000
    AVP.EXE
    CFINET32
    CFINET
    ICMON
    RMVTRJANSAFEWEB
    WEBSCANX
    PVIEW
    ANTIVIR

    المواصفات الخاصة بالايميل


    يقوم الفيروس باستخدام ملقمات البريد الوارد والصادر الخاصة به وذلك ليقوم بارسال نفسه لكل ايميل موجود في ملف الايميلات بنظام التشغيل وندوز او في المسنجر هوت ميل والياهو بيجر وكل الملفات التي تحمل في الاكستنشن الحرفين اتش وتي ويحمل الفيروس اكثر من ملقم بريد وارد وصادر يمكنه استخدامها
    وذلك ببرمجة عبقرية تم بها صنع هذا الفيروس

    عنوان رسالة الفيروس عادة تكون
    Are you the BEST
    Free Win32 API source
    Learn SQL 4 Free
    I Love You..
    Wanna be like a stone ?
    Are you a Soccer Fan ?
    Sexy Screensavers 4 U
    Check it out
    Sample Playboy
    Hardcore Screensavers 4 U
    XXX Screensavers 4 U
    We want peace
    Wanna be a HE-MAN
    Visit us
    One Virus Writer's Story
    One Hacker's Love
    World Tour
    Whats up
    Wanna be my sweetheart ??
    Screensavers from Club Jenna
    Jenna 4 U
    Free rAVs Screensavers
    Feel the fragrance of Love
    Wanna Hack ??
    Sample KOF 2002
    The King of KOF
    Wanna Brawl ??
    Wanna Rumble ??
    Play KOF 2002 4 Free
    Demo KOF 2002
    Free Demo Game
    Wanna be friends ??
    Need money ??
    Are you beautiful
    Who is your Valentine
    Free Screenavers of Love
    Free XXX
    Free Screensavers
    WWE Screensavers
    Freak Out
    Wanna be friends ?
    Things to note
    Lovers Corner
    Patch for Elkern.gen
    Patch for Klez.H
    Free Screensavers 4 U
    Project
    Sample Screensavers
    Are you in Love
    I am in Love
    I Love You
    You are so sweet
    The Hotmail Hack
    U realy Want this
    to ur lovers
    to ur friends
    Find a good friend
    Learn How To Love
    Are you looking for Love
    Wowwwwwwwwwww check it
    Check ur friends Circle
    The world of Friendship
    Shake it baby
    How sweet this Screen saver
    war Againest Loneliness
    Need a friend?
    Say 'I Like You' To ur friend
    love speaks from the heart
    Let's Dance and forget pains
    Looking for Friendship
    True Love
    make ur friend happy
    Who is ur Best Friend
    hey check it yaar
    Check this shit
    Hello
    Hi
     
  2.   مشاركة رقم : 2    ‏2003-01-03
  3. YemenHeart

    YemenHeart مشرف سابق

    التسجيل :
    ‏2001-08-04
    المشاركات:
    1,891
    الإعجاب :
    5
    تابع للموضوع

    والملفات المرفقة لهذا الفيروس عادة تكون بهذه المسميات والامتدادات


    The_Best.scr
    Codeproject.scr
    SQL_4_Free.scr
    I_Love_You.scr
    Stone.scr
    ***.scrSoccer.scr
    Real.scr
    Plus6.scr
    Plus2.scr
    Playboy.scr
    Hardcore4Free.scr
    xxx4Free.scr
    Screensavers.scr
    Peace.scr
    Body_Building.scr
    Services.scr
    VXer_The_LoveStory.scr
    Hacker_The_LoveStory.scr
    World_Tour.scr
    up_life.scr
    Sweetheart.scr
    Sexy_Jenna.scr
    Jenna_Jemson.scr
    zDenka.scr
    Ravs.scr
    Free_Love_Screensavers.scr
    Romeo_Juliet.scr
    Hacker.scr
    KOF_Fighting.exe
    KOF_Sample.exe
    KOF_Demo.exe
    KOF_The_Game.exe
    KOF2002.exe
    King_of_Figthers.exe
    KOF.exe
    My_Sexy_Pic.scr
    MyProfile.scr
    Ways_To_Earn_Money.exe
    Beautifull.scr
    Valentines_Day.scr
    zXXX_BROWSER.exe
    Britney_Sample.scr
    THEROCK.scr
    FreakOut.exe
    MyPic.scr
    Notes.exe
    Cupid.scr
    FixElkern.com
    FixKlez.com
    Romantic.scr
    Project.exe
    Love.scr
    friendship_funny.scr
    Colour_of_life.scr
    Life.scr
    Best_friend.scr
    Friend_happy.scr
    True_love.scr
    Gc_messenger_exe
    Dance.scr
    I_like_you.scr
    Friend_finder_exe
    Be_happy.scr
    Sweet.scr
    Shake.scr
    World_of_friendship.scr
    Friendship.scr
    Funny.scr
    Hotmail_hack_exe.scr

    وعادة يكون اسم المرسل بهذه المسميات
    Klein Anderson
    Codeproject
    SQL Library
    me2K
    Rocking Stone
    Super Soccer
    Sexy Screensavers
    Real Inc.
    Plus 6
    Plus 2
    Playboy Inc.
    Hardcore Screensavers
    XXX Screensavers
    Nomadic Screensavers
    Keanu Stevenson
    Nicolas Schwarzeneggar
    admin@hackersclub.com
    admin@viruswriters.com
    admin@hackers.com
    Paul Owen
    Benting
    Veronica Anderson
    Club Jenna
    Jenna Jameson
    Zdenka Podkapova
    Raveena Pusanova
    Screensavers of Love
    Romeo & Juliet
    Jaucques Antonio Barkinstein
    Cathy Kindergarten
    KOF Online
    Omega Rugal
    Terry Bogard
    Iori Yagami
    Kyo Kusanagi
    Clark Steel
    Ralph Jones
    Jasmine Stevens
    Ross Anderson
    John Vandervochich
    American Beauty
    Valentine Screensavers
    Lovers Screensavers
    zporNstarS
    britneyspears.org
    The Rock
    Noopman
    Susan
    Jonathan
    Cupid
    McAfee Inc.
    Norton Antivirus
    Trend Micro
    Romantic Screensavers
    Jericho
    Love Inc.

    and
    info@flashyat.com
    kl@aminoprojects.com
    admin@codeproject.com
    free@sql.library.com
    me@me2K.com
    stone@esterplaza.com
    marketing@suppersoccer.com
    free@sexyscreensavers.com
    sales@real.com
    plus@real.com
    sales@playboy.com
    free@hardcorescreensavers.com
    free@xxxscreensavers.com
    kkn@k2k.comscreensavers@nomadic.com
    nics@nomadic.com
    paul@kqscore.com
    btq@263.com
    services@tcsonline.com
    admin@clubjenna.com
    jenna@jennajameson.com
    zdenka@zpornstars.com
    ravs@go2pussy.com
    love@lovescreensavers.com
    DNA_seraph@163.com
    super@21cn.com
    cathy@21cn.com
    admin@kofonline.com
    zhouyuye@citiz.net
    lubing@7135.com
    hamada@seikosangyo.com
    luoairong@21cn.com
    valentinescreensavers@t2k.com
    screensavers@lovers.com
    admin@zpornstars.com
    newsletters@britneyspears.org
    therock@wwe.com
    ericpan@online.com.pk
    samsun@online.sh.cn
    yjworks@online.sh.cn
    cupid@freescreensavers.com
    av_patch@mcafee.com
    av_patch@norton.com
    av_patch@trendmicro.com
    romanticscreensavers@love.com
    caijob@online.sh.cn
    loverscreensavers@love.com

    اذا كان تاريخ جهازك هوه 25 مارس او 22 مايو راح تظهر لك رسالة تقول
    Happy Birthday Dear

    واذا كان يوم الجهاز هو الخميس راح يقوم الفيروس بعمل الاتي
    اولا يقوم بعمل عشوائي لوضع الصفحة الرئيسية للمتصفح وذلك بالتحكم في الرجستري
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

    to one of these:
    على احد هذه العناوين

    http:/ /www.unixhideout.com
    http:/ /www.hirosh.tk
    http:/ /www.neworder.box.sk
    http:/ /www.blacksun.box.sk
    http:/ /www.coderz.net
    http:/ /www.hackers.com/html/neohaven.html
    http:/ /www.ankitfadia.com
    http:/ /www.hrvg.tk
    http:/ /www.hackersclub.up.to
    http:/ /geocities.com/snak33y3s

    استعادة محتويات المستندات الخاصة بالمستخدم
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
    ntVersion\Explorer\Shell Folders

    عمل ملف تكست على سطح المكتب وبحالة مخفية وارشيف ويحتوي الملف على الاتي
    ==================================================
    ==========
    r0xx pReSaNt$ W32.@YerH$.B (all r1ght$ re$erv3d.. )
    w3 aRe tHe gRe@t 1nD1aN$..
    ------------------------------------------------------
    m@iN mIssIoN iS t0 sPreAd tHe nAmE @YerH$
    s00 mUch t0 c0me..
    iNclUdEd DDoS c0mp0neNtS c@usE oF sHiT p@kI l@meRs

    eXp3ct th3 uNeXp3ctEd

    dEdic@t3d t0 : mY b3$t fRi3nD
    ================================================
    >> qph@hackermail.com
    or

    ==================================================

    W32.@YerH$.B,Made in India,
    wE aRe thE greAt iNdIaNs..
    ----------------------------
    aBouT mE :
    jUst a c0mputEr gEEk..
    i tHinK i aM sTill a sCripT kiddiE..
    eDucAtiOn : sCh00l sTudEnt..
    aBouT @YerH$.B:
    n0 dEstrucTivE paYload$ f0r inFecTeD c0mpUteRs.
    teRminAtioN oF aV + FireWaLL f0r sUrvIvaL.
    tImE dEfiNed tRigErRinG.. jUst f0r fUn.. n0 paYloaD.
    c0ntAinS bUg iN rEpliCation c0de.. no tIme t0 fiX.
    g0nNa fiX iT iN nExt rElEase..
    n0 m0rE $hiT
    ==================================================
    =
    >> qph@hackermail.com

    or

    ==================================================

    W32.@YerH$.B,Made in India,
    wE aRe thE greAt iNdIaNs..
    ----------------------------
    spEciAl 10x to c0bra..
    f0r inSpirAtIon + c0dIng hElp..
    ==================================================

    >> qph@hackermail.com

    or

    ==================================================
    ====
    W32.@YerH$.B,Made in India
    wE aRe thE greAt iNdIaNs..
    ----------------------------
    wAnT peAce aNd pr0speRity in InDiA ?..
    f**k tHe c0rruptEd p0litiCian$..no shit$ nEEdeD..
    mErA bhAraT mAhaN ??.. n0t yeT..wE nEEd t0 mAkE iT..
    talenT & hArd w0rK shOulD be rEspEctEd..
    sElf stYleD a**H***$ mUsT bE eLimInatEd....
    n0 m0re $hiT m0n0p0lY..
    ==================================================
    ====
    >> qph@hackermail.com

    or

    =================================================
    W32.@YerH$.B,Made in India.
    wE aRe thE greAt iNdiAnS.
    ----------------------------
    iNdiAn hAckeRs + vXerS teAm up...
    aNd kicK lamEr a**
    no m0re pAk shIT..
    itZ oUr tiMe to shOw tHem, the p0wer of teaM w0rk.
    f**k AIC,GFORCE,SILVERLORDS,WFD..f*****g k1dd1es..
    no sHit bUsineSS iN heRe aNd
    nO lamE stuFF..
    ========================================
    >> qph@hackermail.com

    طرق التخلص من الفايروس


    اذا نزلت الفيروس وشغلته اول شي تعمله هوه تحديث النورتن انتي فايروس
    اعادة تشغيل الجهاز
    نسخ ملف
    Copy Regedit.exe
    الى
    Reg.com
    وذلك حسب الخطوات التالية وحسب نظام التشغيل الخاص بجهازك


    بعد تعديل الرجستري
    قم باعادة تشغيل الجهاز
    قم بتشغيل برنامج مكافحة الفيروسات واذا لم يقم بتشغيل نفسه
    قم بتحميل المف التالي وهو التحديث الذكي الخاص بازالة هذا الفيروس
    http://securityresponse.symantec.co....download.html.

    لمستخدمين نظام وندوز 95 و 98 يقوم بالذهاب الى

    أبدأ ثم البرامج وبعد ذلك يقوم باختيار ايقونه

    MS-DOS

    وبذلك راح تفتح لك شاشة الدوس

    بعد كذا انتقل للخطوة الثانية

    اما لو كنت تستخدم نظام وندوز ملينيوم

    اذهب الى ابدأ ثم برامج بعد ذلك برامج ملحقة ثم MS-DOS

    اما بخصوص مستخدمين وندوز ان تي و 2000

    فقم بالذهاب الى ابدأ ثم تشغيل واكتب
    command
    واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس

    أكتب فيها الامر التالي
    cd \winnt

    ثم انتقل للخطوة الثانية

    لو كنت تستخدم وندوز اكس بي

    فقم بالذهاب الى ابدأ ثم تشغيل واكتب
    command
    واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس

    أكتب فيها الامر التالي
    cd \windows


    الخطوة الثانية قم بكتابة الأمر التالي

    copy regedit.exe reg.com

    اضغط انتر
    ثم اكتب الامر التالي
    start reg.com
    وأنتر


    بعد اتمام هذه العملية عليك ان تقوم بتعديل الرجستري وذلك حسب الخطوات التالية
    HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\
    open\command

    روح على تشغيل
    RUN
    اكتب فيها
    REGEDIT
    واحظ ملف الرجستي القديم عشان اذا خبصت ما تروح وطي
    وتحفظه بانك تروح لكلمة رجستري فوق وتقوله اكسبورت رجستري فايل وتحفظ الملف في مكان كويس وبعد كذا اختار

    HKEY_LOCAL_MACHINE
    ثم
    Software
    بعد كذا
    Classes
    ثم
    exefile
    ثم
    shell
    ثم
    open
    ثم
    command
    وبعد كذا دبل كلك على كلمة ديفولت وغير القيمة الموجودة للقيمة هذه
    "%1" %*
    وهية
    علامة تنصيص + علامة المئوية +رقم واحد + علامة تنصيص +مسافة + علامة مئوية +نجمة

    بالنسبة لوندوز 95 و 98 ووندوز ان تي راح تكون هذه القيمة موجودة اول ما تضغط على زر الاوكي وراح تظهر بهذا الشكل
    ""%1" %*"
    نلاحظ علامة تنصيص زايدة وهذه ما راح تظهر لو كان نظام التشغيل
    الوندوز 2000 والاكس بي
    بعد كذا روح واتاكد من مجلدات الرجستري هذه

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
    entVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
    entVersion\RunServices

    وبنفس الطريقة السابقة تقدر توصل لها
    بعني

    HKEY_LOCAL_MACHINE
    ثم
    Software\Microsoft
    ثم
    Windows
    ثم
    CurrentVersion
    ثم
    Run
    وتتاكد اذا

    من حذف هذه القيم من الجهة اليمين
    WinServices.exe C:\%System%\WinServices.exe


    وبعد كذا تقوم باعادة تشغيل الجهاز
    والحمد لله رب العالمين


    -------------
    هذا ما وصلني من احدى رسائل قروب الياهو وتقبلوا فائق التحيه
    واستقبلت في ايميلي هذا الفايروس بس الحمد لله ما فتحته
     
  4.   مشاركة رقم : 3    ‏2003-01-04
  5. الظبي

    الظبي عضو نشيط

    التسجيل :
    ‏2005-07-22
    المشاركات:
    455
    الإعجاب :
    0
    مشكور

    الف شكر على الموضوع اخي حارس
    والله يعطيك العافيه.

    تحياتي.
     
  6.   مشاركة رقم : 4    ‏2003-01-10
  7. YemenHeart

    YemenHeart مشرف سابق

    التسجيل :
    ‏2001-08-04
    المشاركات:
    1,891
    الإعجاب :
    5
    الله يعافيك ويحييك يا غالي والمعذرة منكم
    والله ضغط دراسه خليها على ربك بعد اسبوع اشوفكم
     

مشاركة هذه الصفحة