تعلم عن برنامج subseven و خطورته و كيفية التخلص منع

الكاتب : Super Linx   المشاهدات : 1,045   الردود : 7    ‏2003-03-27
      مشاركة رقم : 1    ‏2003-03-27
  1. Super Linx

    Super Linx عضو متميّز

    التسجيل :
    ‏2003-02-24
    المشاركات:
    1,880
    الإعجاب :
    0
    برنامج Sub Seven

    أخطر برامج الإختراق يسمى في منطقة الخليج ( الباكدور جي ) ويطلق عليه البعض إسم القنبلة

    تتركز خطورته في أنه يتميز بمخادعة الشخص الذي يحاول إزالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه

    يعتبر أقوى برنامج إختراق للأجهزة الشخصية .. وفي إصدارته الأخيرة يمكنه أن يخترق سيرفر لقنوات

    المحادثة Mirc كما يمكنه إخترق أي جهاز أي شخص بمجرد معرفة إسمه في ICQ كما يمكنه إختراق

    مزودات البريد smtp/pop3 يعتبر الإختراق به صعب نسبيا وذلك لعدم إنتشار ملف التجسس الخاص به

    في أجهزة المستخدمين الا أنه قائما حاليا على الإنتشار بصورة مذهلة ويتوقع أنه بحلول منتصف عام

    2003 سوف تكون نسبة الأجهزة المصابة بملف السيرفر الخاص به 40-55 % من مستخدمي الإنترنت

    حول العالم وهذه نسبة مخيفة جدا إذا تحققت فعلا ... مميزاته خطيرة للغاية فهو يمكن المخترق

    من السيطرة الكاملة على الجهاز وكأنه جالس على الجهاز الخاص به حيث يحتوي على أوامر كثيرة

    تمكنه من السيطرة عليه ... بل يستطيع أحيانا الحصول على أشياء لا يستطيع مستخدم الجهاز

    نفسه الحصول عليها مثل كلمات المرور .. فالمخترق من هذا البرنامج يستطيع الحصول على جميع

    كلمات المرور التي يستخدمها صاحب الجهاز !!!
    خصائص البرنامج:

    نظام التشغيـل
    win 95 - win 98

    المنافذ التي يستخدمها
    6711

    6776

    1243

    1999

    ويستطيع المستخدم أحيانا إستخدام منفذ بين المنفذين الأخيرين


    التعديلات التي يحدثها هذا البرنامج في جهاز الضحية :

    ملف التسجيل
    ينشئ القيم التالية :

    HKEY_LOCAL_MACHINE\Software\CLASSES\.dl

    HKEY_LOCAL_MACHINE\Software\Microsot\DirectXMedia

    KERNEL16="KERNEL16.dl

    HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile

    مجلد النظام
    rundll16.exe أو KERNEL.dll
    35 كيلو بايت

    MOVOKH_32.dll
    35 كيلو بايت

    nodll.exe
    35 كيلوبايت

    watching.dll
    35 كيلوبايت

    ملف System.ini
    في السطر الخامس يقوم بإضافة إسمه بعد عبارة explorer.exe

    ليصبح السطر بعد التغيير :shell=Explorer.exe urndll16.exe

    ملف win.ini
    في الأسطر الأولى تحديدا في القيم التي توضع أمامها البرامج

    المراد تشغيلها أثناء تشغيل الويندوز مثل :

    run=###.exe أو Load=###.exe


    أعـراض الإصابة :

    من أهم أعراض الإصابة بهذا البرنامج ظهور رسالة " قام هذا البرنامج بأداء عملية غير شرعية ... " وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك الماوس أو النقر على لىحة المفاتيح حيث يقوم البرنامج بعمل تغييرات في حافظة الشاشة وتظهر هذه الرسائل عادة عندما تقوم بإزالة إدخالات البرنامج في ملف system.ini كما أن بإمكان الخادم إعادة إنشاء نفسه بعد حذفه من الويندوز بإستخدام بعض الملفات المساعدة له في ذلك

    خطورة البرنامج :

    يمكن عمل تعديلات على الخادم الخاص بالبرنامج من خلال برنامج التحرير الخاص به لذلك فإنه من الواجب البحث في أي مكان ممكن أن يسجل فيه ليعمل تلقائيا يعني أي مكان يمكن وضع أوامر للويندوز ليقوم بتشغيله تلقائيا .

    التخلص منه :

    1- إفتح الملف win.ini الموجود في مجلد الويندوز وابحث في بداية السطور الأولى من هذاالملف عن أي قيك شبيهة بالقيم التـالية :

    run=xxxx.exe أو run = xxxx.dll أو Load=xxxx.exe أو Load = xxxx.dll

    لاحظ أن xxxx تعني إسم الخادم وإذا عثرت على أي قيمة منها فقم بحذفها

    2- افتح الملف system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر التالي :

    shell = Explorer.exe ... فإذا كان جهازك مصابا ستجد السطر على هذا الشكل :

    shell=Explorer.exe xxxx.exe .... أو shell = Explorer.exe xxxx.dll

    مع العلم بأن xxxx هو إسم الخادم الذي من أشهر أسمائه rundll16.exe و Task_Bar.exe فإذا كان كذلك فقم بمسح إسم الخادم فقط ليصبح السطر : shell = Explorer.exe

    3- إضغط على start ثم تشغيل ثم إكتب regedit لتدخل الى

    ملف السجل ثم قم بالدخول تسلسليا على الأتي :

    HKEY_LOCAL_MACHINE

    Software

    Microsoft

    Windows

    Current Version

    داخل المجلد Run إبحث عن إسم الخادم الذي عثرت عليه في مــلف system.ini أو الملف win.ini ( في

    بعض الأحيان قد يتغير إسم الخادم في ملف التسجيل لذلك إبحث عن أي شي غريب ) ثم بعد ذلك توجه

    لمجلد الويندوز وستجد أن حجم الخادم الذي عثرت عليه في ملف التسجيل حوالي 328 كيلو بايت إذا

    كان كذلك عد لنفس المنطقة في ملف التسجيل وقم بحذف القيمة وذلك بالنقر على إسمها وإختيار

    حذف delete الآن أعد تشغيل الجهاز ثم توجه لمجلد الويندوز وقم بحذف الخادم بالنقر عليه بالزر الأيمن

    للماوس وإختيار حذف
     
  2.   مشاركة رقم : 2    ‏2003-03-31
  3. الحزن الدفين

    الحزن الدفين عضو

    التسجيل :
    ‏2002-01-27
    المشاركات:
    205
    الإعجاب :
    1
    شكرا لك اخي الكريم ...
    اسال الله ان تكون في ميزان حسناتك :)
    وان ينور الله طريقك


    تحياتي الخالدة
     
  4.   مشاركة رقم : 3    ‏2003-04-06
  5. Super Linx

    Super Linx عضو متميّز

    التسجيل :
    ‏2003-02-24
    المشاركات:
    1,880
    الإعجاب :
    0
    مشكور




    مشكور يا اخي الحزن الدفين وجزاك الله الف خير :)
     
  6.   مشاركة رقم : 4    ‏2003-04-07
  7. ahmadsoroor

    ahmadsoroor عضو متميّز

    التسجيل :
    ‏2002-12-06
    المشاركات:
    1,288
    الإعجاب :
    0
    مشكور يا المهاجر 22 .
    الصراحة مبدع وخطير أنت يا المهاجر .
    نسأل من الله أن يجعل ذلك في ميزان حسناتك .
    والسلام عليكم ورحمة الله وبركاته .
     
  8.   مشاركة رقم : 5    ‏2003-04-07
  9. الحزين2

    الحزين2 عضو

    التسجيل :
    ‏2003-04-06
    المشاركات:
    107
    الإعجاب :
    1
    اقول ان المهاجر22 نقل موضوعة من أحد المنتديات..وهو لا يعرف شئياً في مثل هذه الأشئياً .. فهذا تنوية..
     
  10.   مشاركة رقم : 6    ‏2003-04-07
  11. Super Linx

    Super Linx عضو متميّز

    التسجيل :
    ‏2003-02-24
    المشاركات:
    1,880
    الإعجاب :
    0
    الله يهديك

    استغفر الله العظيم
    على العموم مشكور يالاخ الحزين وجزاك الله الف خير المهم اننا انا قدمت موضوع
    يكون منقول ولا اي شيء المهم اننا انا قدمت حاجه
     
  12.   مشاركة رقم : 7    ‏2003-04-07
  13. الحزين2

    الحزين2 عضو

    التسجيل :
    ‏2003-04-06
    المشاركات:
    107
    الإعجاب :
    1
    إذا كنت نقلت الموضوع يا مليح..
    أكتب ((منقول))..

    أنت تنقل المواضيع من أجل الشكر فقط..لا غير ذلك..
     
  14.   مشاركة رقم : 8    ‏2003-04-07
  15. Super Linx

    Super Linx عضو متميّز

    التسجيل :
    ‏2003-02-24
    المشاركات:
    1,880
    الإعجاب :
    0
    اللبيب تكفيه الاشاره

    :eek:اللبيب تكفيه الاشاره اللبيب تكفيه الاشاره اللبيب تكفيه الاشاره اللبيب تكفيه الاشاره اللبيب تكفيه :Dالاشاره اللبيب تكفيه الاشاره :mad:اللبيب تكفيه الاشاره اللبيب تكفيه الاشاره:p
     

مشاركة هذه الصفحة