هل اخترق جهازك , هل يحوي فيروسات, ادخل وتاكد

السلام عليكم ورحمة الله وبركاته
اخوتي الكرام اقدم لكم هذا البحث المتواضع في اكتشاف برامج التجسس والفيروسات ( التروجان ) وطرق التخلص منها

أغلب برامج التجسس الشخصية تتكون عادة من ملفين الأول هو ما يسمى بالريموت وهذا هو الملف الذي يتحكم به المخترق في جهازك وينزل عن طريق هذه الأداة المعلومات التي يريد من نظامك



وملف السيرفر يقوم بفتح منفذ لديك بجهازك ليستقبل عن طريقه الأوامر المرسلة اليه من المخترق عن طريق أداة الريموت ويرد عليه بالمعلومات المطلوبة عن طريق نفس المنفذ والمنفذ الذي يستخدمه السيرفر يختلف من برنامج أختراق لآخر وبعض البرامج تقوم بتخييرك لأي منفذ تريد الأختراق عبره وبمجال معين لكل برنامج



والسيرفر عادة يعمل تلقائيا في كل مرة تقوم فيها بتشغيل الويندوز لديك ولا يمكنك التخلص منه بأعادة تشغيل جهازك فقط
وهنالك عدة برامج تعمل على تنظيف جهازك من الباتشات وأشهرها هو الكلينر أو المنظف



يعمل المخترق على تغيير الكود الخاص بالسيرفر بحيث لا تكتشفه برامج الأختراق ومن الممكن أن يغير رقم المنفذ الذي يتعامل مع السيرفر عن طريقه وأفضل طريقة لأبقاء جهازك بعيدا عن أيدي المخترقين هي تنظيفه بنفسك ولقد حاولت هنا قدر الأمكان جمع المعلومات عن طرق عمل سيرفرات الأختراق وكيفية أزالتها من جهازك بالطريقة السليمة وبنفسك


=-( الباك دور BackDoor )-=
--------------------------------------------------------------------------------------------------------

وهو أيضا يحتاج إلى خادم لتشغيله. ويوجد إصدارين من هذا البرنامج.
للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك
DATA2.EXE TINURAK.EXE WATCHING.DLL
وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك
WINDOW.EXE NODLL.EXE SERVER_33.DLL

=-( الباك اورفيس )-=
--------------------------------------------------------------------------------------------------------

برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا - تقريباً 120 كيلوبايت فقط
والمنفذ الذي يستخدمه الباك اورفيس هو 31337 فقط
والتخلص منه يكون بالخطوات التالية
قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب
Regedit



ثم قم بالذهاب الى المفتاح التالي :


HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunService

قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120
كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك
ثم أذهب للمجلد التالي


C:WindowsSystem


وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه


Windll.dll


قم بحذفه هو أيضا لأنه تابع لباك أورفيس


بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا

--------------------------------------------------------------------------------------------------------

قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120
كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك
ثم أذهب للمجلد التالي


C:WindowsSystem


وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه


Windll.dll


قم بحذفه هو أيضا لأنه تابع لباك أورفيس


بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا

--------------------------------------------------------------------------------------------------------

قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120
كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك
ثم أذهب للمجلد التالي


C:WindowsSystem


وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه


Windll.dll


قم بحذفه هو أيضا لأنه تابع لباك أورفيس


بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا



=-( الباك اورفيس 2000 BO2k )-=
وهو يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ، ولهذا البرنامج نسختين الأولى تسمى النسخة الأمريكية وهي أكبر حجما من النسخة


الأخرى بالكيلو بايت طبعا. أيضا لهذه النسخة ميزة أخرى تعرف ب DES encryption أما النسخة الثانية فتسمى النسخة الدولية


الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي


BO2K backdoor.BO2K


طريقة معرفة وجودة في جهازك والتخلص منه


=-(النت بس NetBus 1.x )-=
ويستخدم خادم داخل جهازك ومتمكن أيضا من وندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه


يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا أن يفتح محرك أقراص الليزر الخاص بك أيضا


باستطاعته سماع كل شي تقوله إذا كنت موصل مايكروفون مع جهازك وأشياء أخرى عديدة


حجم السيرفر الخاص به هو 470 كيلو بايت ، ويمكن لصاحبه الدخول اليك من المنفذ 12345 والمنفذ 12346


طريقة التخلص منه كالتالي


قم بتشغيل محرر التسجيل وذلك بالطريقة التالية


أبدأ - تشغيل - ثم أكتب في المربع الأمر التالي


Regedit
ثم أذهب إلى المفتاح التالي


HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun


ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لأن السيرفر لا اسم محدد له وقد


يكون بأي اسم


من ثم أذهب إلى المجلد التالي
c:WindowsSystem


وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح –وعادة ما سيرفض ذلك لأنه يعمل


في نفس الوقت الذي تحاول مسحه - فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر


وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح ما بيت 400 كيلوبايت و 500 كيلوبايت فقط


ثم قم بأعادة تشغيل جهازك وستجد أن السيرفر قد تم أزالته عند مراجعتك للخطوات السابقة


=-(السب سيفن Sub7 )-=
برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من
التأكد من عدم وجوده بجهازك


يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك


Kernel.dl


Rundll16.exe


Movokh_32.dll


Watching.dll


Nodll.exe


مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق


كما يقوم بأنشاء القيم التالية في سجل الويندوز لديك


HKEY_LOCAL_MACHINESoftwareCLASSES.dl


HKEY_LOCAL_MACHINESoftwareMicrosoftDirectXMediaKER


NEL16="KERNEL16.DL" HKEY_LOCAL_MACHINESoftwareCLASSES.dl@=exefile


أيضا يقوم السيرفر بأضافة أوامر للملفات التالية


System.ini ===>Shell=Explorer.exe rundll16.exe


Win.ini ====> Run=????.exe Or Load=????.exe


والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق


وطريقة التخلص منه كالتالي


قم بالذهاب الى الملفين


System.ini


Win.ini


عن طريق الخطوات : أبدأ- تشغيل - ثم أكتب في مربع التشغيل


msconfig



بالنسبة لملف الوين فقط قم بالبحث عن الأوامر التالية


Load=???.exe


Load=???.dll


Run=???.exe


وعلامات الأستفهام ترمز الى اسم السيرفر وقد تكون أي شئ


ثم أذهب الى الملف النظام وفي السطر الخامس تقريبا ستجد شيئاً كالتالي


Shell=Explorer.exe


وأذا وجدت السطر مكتوبا بطريقة غير السابق قم بتعديله ليصبح كالسابق وقد يكون هكذا اسمه


Shell=Explorer.exe ???.dll


وعلامات الأستفهام ترمز لأسم السيرفر فقط قم أنت بتعديل السطر الى


Shell=Explorer.exe


بعد ذلك أذهب الى محرر التسجيل عن طريق الخطوات


أبدا ثم تشغيل ثم أكتب في مربع النص التالي


Regedit


وأذهب الى المفتاح التالي


HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun


وستجد على القائمة اليمنى أسم السيرفر وستعرفه بالطبع لأنه سيكون بنفس الأسم الذي وجدته سابقاً في ملف النظام فقط قم بمسح القيم التي


ترمز الى السيرفر بالنقر على زر الحذف


والآن قم بأعادة تشغيل جهازك وأذهب الى مجلد الويندوز وقم بحذف السيرفر وسيكون اسمه معروفا لك الآن

تايع الدرس

=-( The FreeLinl )-=
وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة


VB scripting


حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو
Check this


وتكون الرسالة المصاحبة لهذا العنوان هي


Have fun with these links. By


فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما :


c:windowslinks.vbs c:windowssystemrundll.vbs


أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز


HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV ersionRunRundll
RUNDLL.VBS


وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي


Free XXX links


وتحت العنوان تظهر الرسالة التالية:


This will add a shortcut to free XXX links on your desktop Do you want to continue


ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثلmirc


MIRC32.exe Pirch98.exe


وسوف يقوم بتعديل الملفات التالية :


SCRIPT.INI EVENTS.INI


وذلك حتى يتمكن من إرسال


LINKS.VBS


إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين


والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي


VBS Freelink


كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه


أولا : قم بالبحث عن الملفات التالية


LINKS.VBS RUNDLL.VBS


و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما


ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك.


ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع


Regedit


وستجد القيمة التالية فيه فقط قم بمسحها تماما


HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV ersionRunRundl


بعد ذلك قم بأعادة تشغيل الويندوز


=-( Happy99 )-=

وهو أيضا يضع خادم له داخل جهازك تحت اسم


SKA.EXE


وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ


ذلك. ثم يقوم بتغير الملف


WSOCK32.DLL


ويحتفظ بالملف الأصلي تحت اسم


WSOCK32.SKA


ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل


مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه


Happy99


وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها


الأسماء المستعارة لهذا البرنامج هي :


win32.ska ska wsocks.ska ska.exe


كيفية التخلص منة:


قم بالبحث عن الملفات التالية في المجلد التالي


C:Windowssystem


SKS.EXE SKA.DLL WSOCK32.SKA


إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية :


SKA.EXE SKA.DLL WSOCK32.DLL


بعد ذلك قم بإعادة تسمية الملف


WSOCK32.SKA


إلى الاسم التالي


WSOCK32.DLL


=-( K2Ps )-=

فقط يستطيع التمكن من وندوز 95 و وندوز 98 وقد انتشر عن طريق البريد الإلكتروني تحت اسم


K2PS.EXE


حيث تقول رسالة هذا البريد الذي قد يصل إلى أي شخص أن هناك فيروس اسمه


TX-500


وأنه هو برنامج مضاد لهذا الفيروس. طبعا كما تعرف هذه كانت مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة


الإنترنت بالإضافة إلى كلمة السر الخاصة بك ثم التحكم به وبالبريد الإلكتروني لك. وأيضا يمكنه تغيير كلمة السر الخاصة بك. والطريقة المفضلة إذا أحسست بهذا التغير قم مباشرة بتغير كلمة السر ثم قم بإلغاء الملفات التالية


K2PS.EXE K2PS.CFG


قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب


Regedit


ثم أذهب إلى القيمة التالية وقم بمسحها


HKEY_LOCAL_MACHINESoftwareMicrosoftWindowCurrentVe rsionC


WINDOWSSYSTEMK2PS.EXE


=-( Paradise )-=
وهو أقوى من برنامج


Back Orifice باك اوفيس


ويحتاج أيضا إلى خادم يسمى


agent.exe


ويستطيع إلغاء ملفات وإنشائهم ويستطيع فتح وغلق النوافذ على جهازك ويستطيع عمل محادثة معك


chatting


ويستطيع عمل أشياء أخرى


كيفية التخلص منة


يمكنك التخلص منة باستخدام البرنامج


The cleaner


=-( PrettyPrk )-=
هذا البرنامج يستطيع الانتشار أيضا عن طريق البريد الإلكتروني. فعند تنفيذه سوف يقوم بإرسال نفسه إلى العناوين الموجودة في


windows address book


وسوف يخبر المستخدمين الموجودين على IRC


عند إعدادات النظام وكلمات السر. وسوف يقوم بنسخ نفسه داخل المجلد التالي


C:WindowsSystem


مع الملف


files32.VXD


أيضا سوف يقوم بتسجيل نفسه داخل القيمة التالية في سجل الويندوز


HKEY_CLASSES_ROOT exefileshellopencommandfiles32.vxd


فقط قم بإلغائها بالذهاب إلى أبدأ ثم تشغيل ثم أكتب


Rededit


=-( ProMail )-=

انتشر كثيرا هذا البرنامج بطريقة


freeware و shareware


وقد انتشر تحت هذا الاسم


proml121.zip


وهو ملف غير مضغوط داخل هذا الملف


promail.exe


فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة. :كيفية التخلص منة إذا كان لديك هذا البرنامج


Promail


قم مباشرة بإلغائه



تابع الدرس

=-( Sockets )-=

وهذا البرنامج خطير جدا وهو تقريبا فيروس. وهو لا يقوم فقط بتحميل خادم له ولكنة يصيب عددا من الملفات المنتهية بالأحرف
exe


وله نفس خصائص البرامج الأخرى التي تعمل معالبريد الألكتروني والأيسكيو
كيفية التخلص منة : باستخدام البرنامج


Anti Troie

=-( ZipFile )-=

وهو أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي . وهو يستطيع نشر نفسه بنفسه باستخدام البريد الألكتروني
فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية


Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help


وعندما يتمكن من نشر نفسه باستخدام البريد الألكتروني فانه يقوم بإرسال نفسه مرة أخرى تحت اسم


Zipped_files.exe


إلى جميع العناوين التي استقبلت منهم رسائل سابقة مرفق به هذه الرسالة
Hi, username received your email and I shall send you a reply ASAP. Till then, take a look at this attached zip docs Bye


أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية


DOC XLS PPt C CPP H


وللأسف فأنة صعب جدا إن تستعيد تلك الملفات باستخدام الأمر undelete


الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي :
worm.explore.zip win32.explore explore.zip


طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98 قم بالضغط على
CTRL ALT DEL


وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي


Zipped_files Explore _setup


ملاحظة مهمة : يجب أن تفرق بين اسم الملف السابق


Explore
وبين المتصفح
Explorer


فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية :
C:windows_setup.exe C:windowsExplore.exe


بعد ذلك قم بإلغاء الأسطر التالية والموجودة في


WIN.INI


باستخدام الأمر
Sysedit او msconfig


ثم اذهب إلى أبدأ ثم تشغيل والأسطر هي


run=setup.exe run=c:windowssystemexplore.exe


أيضا قم بإلغاء السطر التالي باستخدام الأمر


regedit


HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionWindowsRun


اعذروني للإطالة الموضوع

monster007

حلو كتير

مشكور مونستر الغالي عالمعلومات الفيدة

تقبل مروري حبيب


ْ