أول مرة في المنتديات العربية! الكشف عن اول ثغرة في مسنجر6 التي تهدد خصوصيتك (بالصور)

الكاتب : بلادي اليمن   المشاهدات : 680   الردود : 4    ‏2003-07-11
      مشاركة رقم : 1    ‏2003-07-11
  1. بلادي اليمن

    بلادي اليمن عضو نشيط

    التسجيل :
    ‏2003-07-09
    المشاركات:
    436
    الإعجاب :
    0
    ظهر لنا المسنجر الجديد وظهرت معه الاشاعات وهذا شيء طبيعي في عالم الكمبيوتر ومعتاد ايضا فذا النوع من الاشاعات مشهور ويسمى hoaxes او اشاعات الانترنت . احد الاشاعات قالت بان مسنجر 6 هو برنامج تجسس لاكن هذا عاري نماما عن الصحة لاكن لانريد العودة في شرح هذا الموضوع لانه شرح كثير
    لاكن موضوع اليوم يتكلم ان احدث عيب امني في هذا المسنجر اقصد بمسنجر 6(beta) او النسخة التجربية .
    في تاريخ 3/7/2003 اكتشف احد الهكرز عيب امني في هذا المسنجر وهذا العيب موجود في الخاصية الجديدة التي تسمح لك بحفظ المحادثات فاستطاع هذا الهكرز بصناعه تروجون يستقل هذا العيب فهذا التروجون يستطيع سرقة هذة الملفات المحفوظة وهذا الترجون يدعي صاحبة بان لايمكن للجدران النارية باكتشافة لانة يقوم ويشكل ذكي بضرب الجدار الناري بطريقة تسمح لهذا التروجون بمرور خلالة بدون اظهار رساله انذار التي تنذر بان يوجد برنامج يحاول الاتصال )لاكن انا لاحظت بان عند اعادة تشغيل الوندوز ان التروجون يمنع تشغيل الجدار الناري من غير ازالة ادخالت الخاصة بالجدار الناري الموجودة في الرجستري التي تسمح بتشغيل الجدار الناري مع بداية التشغيل لاكن بعد ازالة التروجون عاد الجدار الناري يعمل بشكل تلقائي مع نشغيل الوندوز! فهنا اجزم بان صانع التروجون يملك مهاره عالية فهو استخدم طريقه جديدة لمراوغه الجدار الناري )

    اين يسكن التروجون ؟

    هذا التروجون يسكن في مجلد الونوز ويكون على اسم windll ويضع في قسم run الموجود في الرجستري شفرة تسمح له بتشغيلة مع كل اعادة تشغيل وايضا يقوم ببعض التعديلات في الرجستري (شاهد اسفل اذا كنت تريد تفصيل اكثر )
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]


    تذكر:
    1-ليس جميع مستخدمي مسنجر 6 مصابين بهذا التروجون
    2-هذا التروجون لم يكتشف حتى الان من قبل شركات مكافحي الفيروسات ربما يحتاج الى ابام او اسابيع لكتشافة وهذا يعتمد على مدى انتشارة
    3-مسنجر 6 ليس بتروجون
    4-طريقة الاصابة بهذا التروجون هو بفتح ملف ملوث قد يكون هذا التروجون مرفق بشكل خفي في برنامج فتح اكثر من مسنجر او كرك او حتى يرسل لك عن طريق المسنجر من صديق لك
    5-برنامج فتح اكثر من مسنجر ليس بتروجون لاكن يوجد بعض هذة البرامج مدمج معها تروجون (توخى الحذر في المنتديات العربية)
    6- انتببه اذا شاهدت موضوع عن برنامج فتح اكثر من مسنجر 6 او كرك للمسنجر 6 في المنتديات العربية لان الكثير من الهكرز العرب يستغلون الشعبية العالية لبرامج المسنجر واضافاتة
    7-فقط قم بانزال البرامج التي تضاف الى المسنجر من المواقع المشهورة مثلا download ,المشاغب, بوابة العرب وانصحك بشدة بالابتعاد عن المواقع العربية الشخصية اهرب منها مثل ماتهرب من الطاعون وحذر اصدقائك منها
    8-ابد لاا تقم بانزال اي برامج تصلك من المسنجر حتى لو كان من اخوك ! فقط" فقط" قم بانزال اي برنامج اذا اعطاك ايها على شكل وصلة لموقع مشهور لتنزيل البرامج

    %%-وصفه لكشف اي شخص يحاول ارسال لك تروجون عن طريق المسنجر %%
    كثير من الاصابات بالتروجونات تكون بسبب ارسال ملف ملوث مباشرة من مسنجر الهكرز الى مسنجر الضحية
    هذة الوصفة فعاله لحمايتك من هذة التروجونات و هي ببساطة تتطلب منك استخدام عقلك لا اكثر ولا اقل
    مثلا شخص (صديق شرير) على المسنجر قال لك (لدي برنامج ممتاز ونادر اريد ان ابعثة لك على المسنجر واطلب منك ان تسمح باستقباله ) فانت مباشرة تسالة هذا السؤال(هل لديك وصلة لهذا البرنامج ؟) فاذا رد عليك وقال(لا لا امتلك وصلة لهذا البرنامج) اسئالة سؤال اخر (اذا كيف حصلت على البرنامج ؟؟ هل نزلتة من السماء؟؟ اذا كيف تحصل على برنامج من غير وصلة تنزيل) هنا اضمن لك بانة لان يجيب على سئالك مباشرة وسوف ينتظر فترة حتى يرد عليك ويكون ردة (لا هذا البرنامج ارسالة لي صديق من الانرنت ) فانت مباشرة تسألة سوال اخر (من هذا الصديق ؟) فاذا قال (شخص لاتعرفة ) فهنا لابد ان تقول لها( انا ابدا لا استقبل اي برنامج من اي شخص غريب ) ..... J
    انت ذكي واكيد قدرت تكشف حيلة هذا الصديق الشرير (جربوها)
    10-انا هذا التروجون فقط فعال في نسخة beta التجربية من المسنجر فهو اكيد سوف لان يكون فعال في النسخ المحدثة من المسنجر 6 لان طبعا شركة ميكروسوفت سوف تقوم بزالة هذا العيب (الثغرة) من المسنجر
    11-هذا الموضوع انا لااطلب منك عدم استخدام المسنجر 6 لاكن اطلب منك ان تتاكد من خلو جهازك او ان تزيل هذا التروجون من جهازك اذا وجد لاكني لا احبذ استخدام هذا المسنجر بسبب لانه في بداية صنعه فهو يحتوي على اخطاء ....استخدم مسنجر 5 حتى ينزل المسنجر 6 بشكل رسمي ومتكامل.
    12-هذة الثغرة ليست خطيرة جدا اقصد ليس لها ضرر بالغ مثلا سرقة باسوردات او ملفات خاصة مثل الصور او مشابه لاكن يكون ضرر هذة التروجون في سرقة ملفات الماحدثة المحفوظة في الكمبيوتر لاكن طبعا هذا خطر اذا كانت المحادثات تحتوي على اشياء حساسة لاتريد اي شخص ان يطلع عليها!!!
    13- هذا التروجون يستغل عيب أمني موجود في msn messenger 6 beta

    ملحق
    هذة التغيرات التي احدثها التروجون في جهازي بعد الاصابة
    D:\WINDOWS\Prefetch\SERVER.EXE-29F01780.pf
    D:\WINDOWS\Prefetch\WINDLL.EXE-1398AD70.pf
    D:\WINDOWS\Windll.exe

    FILES CHANGED: (8)
    D:\Documents and Settings\xxx\ntuser.dat.LOG
    D:\Documents and Settings\xxx\SendTo
    D:\Documents and Settings\xxx\Application Data\Microsoft\FrontPage\State
    D:\Documents and Settings\xxx\Local Settings\Temp\HBtFiles

    D:\WINDOWS
    D:\WINDOWS\Prefetch
    D:\WINDOWS\system32\config\software.LOG

    NO CHANGES MADE TO D:\WINDOWS\SYSTEM.INI...

    NO CHANGES MADE TO D:\WINDOWS\WIN.INI...

    REGISTRY KEYS ADDED: (2)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriberProperties

    REGISTRY KEYS DELETED: (2)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriberProperties

    REGISTRY KEY VALUES CHANGED: (4)
    HKEY_USERS\S-1-5-21-776561741-1580818891-1708537768-1004\Software\Microsoft\MessengerService
    Value "WinXPRunCount": from "2269" to "2270"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography
    \RNG
    Value "Seed": binary data changed

    REGISTRY KEY VALUES ADDED: (13)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\Active="1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\Enabled="-1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\EventClassApplicationID="{00000000-0000-0000-0000-000000000000}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\EventClassID="{D5978620-5B9F-11D1-8DD2-00AA004ABD5E}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\EventClassPartitionID="{00000000-0000-0000-0000-000000000000}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\InterfaceID="{D597BAB1-5B9F-11D1-8DD2-00AA004ABD5E}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\OwnerSID="S-1-5-21-776561741-1580818891-1708537768-1004"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\PerUser="-1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriberApplicationID="{00000000-0000-0000-0000-000000000000}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriberPartitionID="{00000000-0000-0000-0000-000000000000}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriptionID="{BD8BA645-0AF5-4337-A90A-E120C9B27492}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriptionName="Messenger ISensNetwork Subscription"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{BD8BA645-0AF5-4337-A90A-E120C9B27492}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000- 000000000000}\SubscriberProperties\ulConnectionMad
    eTypeNoQOC="13,00,00,00,07,00,00,00"

    REGISTRY KEY VALUES DELETED: (13)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\Active="1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\Enabled="-1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\EventClassApplicationID="{00000000-0000-0000-0000-000000000000}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\EventClassID="{D5978620-5B9F-11D1-8DD2-00AA004ABD5E}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\EventClassPartitionID="{00000000-0000-0000-0000-000000000000}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\InterfaceID="{D597BAB1-5B9F-11D1-8DD2-00AA004ABD5E}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\OwnerSID="S-1-5-21-776561741-1580818891-1708537768-1004"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\PerUser="-1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriberApplicationID="{00000000-0000-0000-0000-000000000000}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriberPartitionID="{00000000-0000-0000-0000-000000000000}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriptionID="{16892B8F-6A98-4511-96CF-314263ACC52E}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}\SubscriptionName="Messenger ISensNetwork Subscription"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EventSystem\
    {26c409cc-ae86-11d1-b616-00805fc79216}\Subscriptions\{16892B8F-6A98-4511-96CF-314263ACC52E}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000- 000000000000}\SubscriberProperties\ulConnectionMad
    eTypeNoQOC="13,00,00,00,07,00,00,00"

    *-*-كافة الحقوق محفوظة لـ مخـروط*-*-
     
  2.   مشاركة رقم : 2    ‏2003-08-12
  3. جاد

    جاد عضو فعّال

    التسجيل :
    ‏2003-07-30
    المشاركات:
    817
    الإعجاب :
    0
    شكرا على التحذير الهام

    شكرا جدا
     
  4.   مشاركة رقم : 3    ‏2003-08-12
  5. Super Linx

    Super Linx عضو متميّز

    التسجيل :
    ‏2003-02-24
    المشاركات:
    1,880
    الإعجاب :
    0
    شكرا جدا
     
  6.   مشاركة رقم : 4    ‏2003-08-15
  7. dala3

    dala3 عضو

    التسجيل :
    ‏2003-08-14
    المشاركات:
    33
    الإعجاب :
    0
    مشكوور
    وتسلم
     
  8.   مشاركة رقم : 5    ‏2003-08-17
  9. العمراوي

    العمراوي مشرف سابق

    التسجيل :
    ‏2002-11-24
    المشاركات:
    7,510
    الإعجاب :
    4
    مشكور أخي على الموضوع الجميل المدعم بالشرح المفصل ....
     

مشاركة هذه الصفحة