yasmeen-alcham
o § ] عضو برونزي [ § o ![o § ] عضو برونزي [ § o](https://2img.net/i/itest/ranks/sword/sword8.gif "o § ] عضو برونزي [ § o")
 | | موضوع: ماهو فيروس Win32.Sality.ag ...وكيف يعمل..وكيف ينتشر....وطريقة اكتشافه...ومقاومته. السبت 08 مايو 2010, 4:05 am | |
| [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]تفاصيل عن الفيروس :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]هذا البرنامج الضار يصيب ملفات على كمبيوتر الضحية. وهو مصمم لتنزيل وإطلاق برامج خبيثة أخرى على كمبيوتر الضحية دون علم المستخدم أو موافقته. وهو ملف ويندوز EXE. مبرمج بلغة + +Cكيف يشتغل :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]عند تشغيل الحاسب مباشرة يقيم الفيروس يقوم بانشاء ملف في فهرس النظام تحت اسم عشوائي
%System%\drivers\.sysوالـ يجري سلسلة عشوائية من الأحرف الكبيرة اللاتينية ، مثل "INDSNN"وهدا الملف هو برنامج تشغيل وضع نواة حجمه 5157 بايتوقد تم الكشف عنه من قبل Kaspersky Anti-Virus تحت اسم Virus.Win32.Sality.ag كيف ينتشر :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]هدا الفيروس يصيب ملفات ويندوز إكس بي ، دوي الامتدادت التاليةEXE
SCRوفقط الملفات التي تحتوي على الأقسام التالية تصاب بهTEXT
UPX
CODEو عند انتشاره ينشأ ملف ملغوم تحت اسم الملف الأصلي الموجود بداخلهويقوم بانشاء ملف في ريجيستر الملفات المؤقتة تحت اسم%Temp%\__Rar\.exeوليضمن البرنامج اشتغال تلقائى يقوم بصنع نسخ عن نفسه على جميع الأقراصتحت أسماء عشوائية تحت الامتدادات التاليةexe.
.pif.
cmd.يتم تشغيلها تشغيلها تلقائيا كلما دخلت الأقراصوهو أيضا يقوم بزرع ملف مخفي مع الملحقات التي يتم اختيارها عشوائيافي مجلدات جدر الأقراص تحت اسم :autorun.infوبهدا عند دخول القرص C مثلا يتم تشغيل الفيروس عن طريق الأمر التلقائي الدييقوم بتنفيده Autorun.inf[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
مضمون الفيروس :
يحتوي الفيروس على روابط خبيثة يقوم بالتحميل منها تحديثاتهويقوم بتنزيل الملفات التالية :Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu
وقد صممت جميع هذه البرامج الخبيثة لتوزيع البريد المزعج (SPAM) وبصرف النظر عن عن مايقوم بتحميله ، يمكن للفيروس تعديل مجموعة من المعلومات في نظام التشغيلبما في ذلك ما يلي :1-تعطيل إدارة المهام ومنع تحرير تسجيل النظام عن طريق تعديل معلمات التسجيل التالية:
[HKÑU\Software\Microsoft\Windows\CurrentVersion\Po licies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
2-تعديل الإعدادات من مركز أمن الويندوز عن طريق إنشاء مفتاح التسجيل التالي :[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001
3-ضمان أن لا يتم عرض الملفات المخفية وذلك بإضافة المعلمة التالية لنظام التسجيل :[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
Advanced]
"Hidden"=dword:00000002
4-يثبت خيارات على المتصفح الافتراضي تطلق دائما في وضع الاتصال ،ويضيف التسجيل التالي الى الريجيستري :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]
"GlobalUserOffline"=dword:00000000
5-تعطيل البرنامج التحكم في حساب المستخدم بواسطة تعيين مفتاح التسجيل "EnableLUA" to “0” :
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system]
"EnableLUA"=dword:00000000
6-ويضيف التقرير نفسه إلى جدار الحماية ويندوز كتطبيق يسمح بالوصول إلى الشبكة.و للقيام بذلك فإنه يحفظ المعلمة التالية في مفتاح التسجيل:
[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
""
= ":*:Enabled:ipsec
"حيث إنه ينشئ مفاتيح التسجيل فيه مخازن البيانات التشغيليةHKCU\Software\حيث -- هو قيمة التعسفي.
7-يبحث عن ملف يدعى WinDir%\system.ini :ويضيف السجل التالي له[MCIDRV_VER]
DEVICEMB=509102504668 (any arbitrary number
)8-يحذف مفاتيح التسجيل التالية ، مما يجعل من المستحيل الدخول بالكمبيوتر المصاب في الوضع الآمن :
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
9-حذف الملفات تحت امتداد *exe. & .rar* من المجلد للمستخدم الحالي المؤقت :%Temp%\[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
وبعدها سيقوم بعمل تحديث سريعوبعد دلك قم بعمل سكان للكمبيوتر ولا تمل أبدا حتى ولو طالت مدة السكانوسيتم سحق الفيروس نهائيامثال أنا استغرقت2ساعة على قرص 200 GB [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]وإسمحو لي بيان طريقة التثبيت والتحديث للبرنامج خطوة بخطوه وبالصور . بسم الله أبدأ .
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] | |
|
smsm
o § ] .. مستشارة .. [ § o ![o § ] .. مستشارة .. [ § o](https://2img.net/i/itest/ranks/sword/sword13.gif "o § ] .. مستشارة .. [ § o")
| | موضوع: رد: ماهو فيروس Win32.Sality.ag ...وكيف يعمل..وكيف ينتشر....وطريقة اكتشافه...ومقاومته. الثلاثاء 11 مايو 2010, 12:37 am | |
| | |
|
