فيروس اليوم

الكاتب : المنتصر   المشاهدات : 566   الردود : 4    ‏2004-05-04
      مشاركة رقم : 1    ‏2004-05-04
  1. المنتصر

    المنتصر عضو متميّز

    التسجيل :
    ‏2004-02-01
    المشاركات:
    1,073
    الإعجاب :
    0
    التروجانات تنشط أمام تراجع دودة الوين 32



    خمسة انواع جديدة من الفيروسات ظهرت على الساحة نبدأها بنسخة الأغوبوت الجديدة Agobot-Ev وهي دودة وين 32 تضم تروجان ابواب خلفية IRC ودودة PZP تفتح الـ Tcp Ports لتتنصت وتنفذ اوامر لصالح مقتحم عن بعد.هذه الدودة سوف تحرك نفسها داخل مجلد نظام النوافذ تحت اسم Regsvc32.exe وتكون اسماء الدخول التالية لتستطيع العمل تلقائياً مع بداية تشغيل النظام.


    Service Process = regsvc32.exe


    HKLM\Software\Microsoft\Windows\


    CurrentVersion\Run\Generic


    \HKLM\Software\Microsoft\Windows


    CurrentVersion\RunServices\Generic


    Service Process = regsvc32.exe


    الاغوبوت سوف تحاول تدمير البرامج المضادة للفيروسات والحوائط النارية بالاضافة لأي فيروسات ودود وأحصنة طروادة، كما انها سوف تبحث عن مجلدات مشتركة على الانترنت تحمل اسماء دخول ضعيفة وتنسخ نفسها داخلهم وبإمكانها ايضاً الاحتيال على شبكات الـ IRC و FTP والـ UULN والـ HTTP لتسرق المعلومات منها وهي بإمكانها استغلال المناطق الضعيفة في النظام لتستغل مفاتيح التسجيل، كما انها ترسل المعلومات المسروقة الى هذه المواقع:


    yahoo.co.jp


    www.nifty.com


    www.d1asia.com


    www.st.lib.keio.ac.jp


    www.lib.nthu.edu.tw


    www.above.net


    www.level3.com


    nitro.ucsc.edu


    www.burst.net


    www.cogentco.com


    www.rit.edu


    www.nocster.com


    www.verio.com


    www.stanford.edu


    www.xo.net


    de.yahoo.com


    www.belwue.de


    www.switch.ch


    www.1und1.de


    verio.fr


    www.utwente.nl


    www.schlund.net


    ظهر تروجان جديد اسمه Banker-s وهو يعد سارق لكلمات السر ويحاول الاستيلاء على مفاتيح الدخول مع تصفح النت وهو يكون الملفات التي تتضح من خلال تعريفها التالي:


    \dllreg.exe


    \sock64.dll


    \rundllw.exe


    \load32.exe


    \vxdmgr32.exe


    ومن اجل ان يشتغل التروجان على نظام البداية يكون مفتاح الدخول التالي:


    HKLM\software/microsoft/windows\


    currentrer sion\run\load32


    وتروجان الـ Banker-s يضيف اسماً واحداً من النسخ الخاصة به وهو Run = line الخاص بملف shell=line win. ini بملف system.ini وهذا التروجان يستخدم محرك SMTP ليرسل نتائج الـ Keyloggor بعنوان الكتروني باللغة الروسية. تروجان اخر ظهر وهو نسخة جديدة من ستارتبا اسمها startpa-AE وهو يعمل على تغيير معدات نظام التصفح الخاصة مايكروسوفت انترنت اكسبلورر في كل مرة تبدأ النوافذ. وستارت بايكل ببساطة عبارة عن ملف نصي اسمه sysdlcr والذي يمكن استخدامه كمنفذ تسجيلات الدخول التالية:


    HKCU\Software\Microsoft\Internet


    Explorer\Main\Start Page


    HKCU\Software\Microsoft\Internet


    Explorer\Main\HOMEOldSP


    HKCU\Software\Microsoft\Internet


    Explorer\Main\Search Bar


    HKCU\Software\Microsoft\Internet


    Explorer\Main\Search Page


    HKCU\Software\Microsoft\Internet


    Explorer\Search\SearchAssistant


    HKCU\Software\Microsoft\Internet


    Explorer\Main\Start Page


    HKCU\Software\Microsoft\Internet


    Explorer\Main\HOMEOldSP


    HKCU\Software\Microsoft\Internet


    Explorer\Main\Search Bar


    HKCU\Software\Microsoft\Internet


    Explorer\Main\Search Page


    HKCU\Software\Microsoft\Internet


    Explorer\Search\SearchAssistant


    وآخر هذه التسجيلات للدخول تسبب تحديثاً دائماً للتروجان في كل مرة تبدأ فيها النوافذ كما انه يمكن تحميله بواسطة تروجان آخر وهو Troj/Adclick-ae.


    يبدو ان هذا الاسبوع اسبوع التروجانات فقد ظهر تروجان آخر هو Legmir-k وهو يعمل كسارق لكلمات السر ايضاً ومن اجل ان يعمل تلقائياً عند بداية النوافذ ينسخ التروجان نفسه على الملف واسمه intrenat.exe في مجلد النوافذ وتضيف تسجيلات الدخول التالية:


    HKCU\Software\Microsoft\Windows\


    CurrentVersion\Run\Intrenat =


    C:\WINDOWS\intrenat.exe


    HKCU\Software\Microsoft\Windows\


    CurrentVersion\RunServices\ Intrenat =


    C:\WINDOWS\intrenat.exe


    وهذا التروجان يكون ملفاً باسم explorder.dll في مجلد النوافذ وهو يكشف كافة النسخ السابقة من الليغمر وهي legmir-E. وحتى يتجنب كشفه يحاول ان يدمر العمليات التالية في النظام:


    EGHOS.EXE


    MAILMON.EXE


    KAVPFW.EXE


    PAVTIMER.EXE


    RAVMOON.EXE


    CCENTER.EXE


    NAVAPW32.EXE


    ثم يقوم التروجان بتخزين اسماء المرور المسروقة في قسم الـ HKCR الخاص بالتسجيل ويرسلها الى مؤلف الفيروس عبر البريد الالكتروني وبذلك يتحكم الهاكر في انظمة هذه الحاسبات. وتظهر مرة اخرى نسخة جديدة من النت سكاي وهي NETSKY-Z وهي دودة انترنت تنتشر بارسال نفسها للعناوين التي تعثر عليها في الملفات على الحاسب المحلي وعند تشغيلها للمرة الأولى تنسخ نفسها على مجلد نظام النوافذ باسم JAMMERZED.EXE وتكون تسجيل الدخول التالي وبذلك يعمل الملف في كل مرة يبدأ فيها النظام.


    HKLM\Software\Microsoft\Windows\


    CurrentVersion\Run\jammer2nd =


    \Jammer2nd.exe


    الرسالة تستخدم عناوين موضوعات ونص رسائل بشكل عشوائى من التالي:


    Subject lines:


    information


    Hi


    Document


    Important


    Message texts:


    Important bill!


    Important notice!


    Important document!


    Important data!


    Important textfile!


    Important details!


    Important informations!


    Important!


    Important notice!


    attached file (Zip archive):


    Bill.zip


    Notice.zip


    Data.zip


    Textfile.zip


    Details.zip


    Part-2.zip


    Informations.zip
     
  2.   مشاركة رقم : 2    ‏2004-05-04
  3. 3laa3sam

    3laa3sam عضو فعّال

    التسجيل :
    ‏2003-06-21
    المشاركات:
    619
    الإعجاب :
    0
    أحسنت...

    أحسنت منتصر....أحسنت
     
  4.   مشاركة رقم : 3    ‏2004-05-04
  5. المنتصر

    المنتصر عضو متميّز

    التسجيل :
    ‏2004-02-01
    المشاركات:
    1,073
    الإعجاب :
    0
    حياك ربي يامعلم علاء
     
  6.   مشاركة رقم : 4    ‏2004-05-06
  7. ياسرالحفيظي

    ياسرالحفيظي عضو نشيط

    التسجيل :
    ‏2003-11-08
    المشاركات:
    471
    الإعجاب :
    0
    تسلم الله يخليك موضوع في منتهى الروعة
    مشكوووووووووووووووور
     
  8.   مشاركة رقم : 5    ‏2004-05-06
  9. طيبه

    طيبه عضو نشيط

    التسجيل :
    ‏2003-12-16
    المشاركات:
    282
    الإعجاب :
    0
    تسلم على هذا الموضوع القيم.,.,.,.
     

مشاركة هذه الصفحة