اعرف وطبق هذي المعلومات وتخلص من ملفات التجسس والتخريب

حسين الرويعي · 17-05-02, 02:44 PM

أغلب برامج التجسس الشخصية تتكون عادة من ملفين الأول هو ما يسمى بالريموت وهذا هو الملف الذي يتحكم به المخترق في جهازك وينزل عن طريق هذه الأداة المعلومات التي يريد من نظامك
والملف الثاني هو ما يسمى بالخادم وله عدة أسماء ثانية مثل السيرفرserver أو الباتش batch وهذا الملف لابد من من أن تقوم بتشغيله في جهازك لكي يستطيع المخترق أن يدخل جهازك
كل برنامج من برامج التجسس يستخدم سيرفر خاص به يدعم خصائصه وعادة ما يتراوح حجم السيرفر من 100 كيلوبايت الى 400 كيلوبايت والحجم يعتمد على كمية الخصائص الموجودة بالريموت
والحجم لا أساس له فقد يقوم المخترق بدمج ملف السيرفر مع برنامج آخر أو لعبة صغيرة لتقوم أنت بتشغيلها وفي كل مرة تقوم بتشغيل اللعبة أو البرنامج فأن السيرفر المدمج بها يقوم بتشغيل نفسه أوتوماتيكياً
ولرؤية قائمة بالبرامج التي تعمل على دمج السيرفر أو الفيروس بأي ملف او برنامج اذهب للموقع التالي paragon.revoluti0n.org/dlbind.htm
وملف السيرفر يقوم بفتح منفذ لديك بجهازك ليستقبل عن طريقه الأوامر المرسلة اليه من المخترق عن طريق أداة الريموت ويرد عليه بالمعلومات المطلوبة عن طريق نفس المنفذ والمنفذ الذي يستخدمه السيرفر يختلف من برنامج أختراق لآخر وبعض البرامج تقوم بتخييرك لأي منفذ تريد الأختراق عبره وبمجال معين لكل برنامج
ولرؤية قائمة بالمنافذ الأفتراضية لبرامج الأختراق الشهيرة اذهب للموقع التالي :
paragon.revoluti0n.org/Te...nports.txt
والسيرفر عادة يعمل تلقائيا في كل مرة تقوم فيها بتشغيل الويندوز لديك ولا يمكنك التخلص منه بأعادة تشغيل جهازك فقط
وهنالك عدة برامج تعمل على تنظيف جهازك من الباتشات وأشهرها هو الكلينر أو المنظف ويمكنك الحصول عليه من موقع كويت كيسwww.qkiss.com/ولكن هذه البرامج غير عملية فقد يعمل المخترق على تغيير الكود الخاص بالسيرفر بحيث لا تكتشفه برامج الأختراق ومن الممكن أن يغير رقم المنفذ الذي يتعامل مع السيرفر عن طريقه وأفضل طريقة لأبقاء جهازك بعيدا عن أيدي المخترقين هي تنظيفه بنفسك ولقد حاولت هنا قدر الأمكان جمع المعلومات عن طرق عمل سيرفرات الأختراق وكيفية أزالتها من جهازك بالطريقة السليمة وبنفسك

الباك دور BackDoor :
وهو أيضا يحتاج إلى خادم لتشغيله. ويوجد إصدارين من هذا البرنامج.
للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :
DATA2.EXE TINURAK.EXE WATCHING.DLL
وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :
كلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةEXE NODLL.EXE SERVER_33.DLL
---------------الباك اورفيس :
برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا - تقريباً 120 كيلوبايت فقط
والمنفذ الذي يستخدمه الباك اورفيس هو 31337 فقط
والتخلص منه يكون بالخطوات التالية :
قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب
Regedit

ثم قم بالذهاب الى المفتاح التالي :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV

ersionRunService

قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120 كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك
ثم أذهب للمجلد التالي
C:WindowsSystem
وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه
Windll.dll
قم بحذفه هو أيضا لأنه تابع لباك أورفيس
بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا

الباك اورفيس 2000 BO2k:
وهو يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ، ولهذا البرنامج نسختين الأولى تسمى النسخة الأمريكية وهي أكبر حجما من النسخة الأخرى بالكيلو بايت طبعا. أيضا لهذه النسخة ميزة أخرى تعرف ب DES encryption أما النسخة الثانية فتسمى النسخة الدولية
الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي :
BO2K backdoor.BO2K
طريقة معرفة وجودة في جهازك والتخلص منه :
يوجد الآن برنامج واحد لحمايتك من هذا البرنامج تجده في الموقع التالي
-------------------www.spiritone.com/~cbenso...rifice.htm

---------- النت بس NetBus 1.x :
ويستخدم خادم داخل جهازك ومتمكن أيضا من وندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا أن يفتح محرك أقراص الليزر الخاص بك أيضا باستطاعته سماع كل شي تقوله إذا كنت موصل مايكروفون مع جهازك وأشياء أخرى عديدة
حجم السيرفر الخاص به هو 470 كيلو بايت ، ويمكن لصاحبه الدخول اليك من المنفذ 12345 والمنفذ 12346
طريقة التخلص منه كالتالي :
قم بتشغيل محرر التسجيل وذلك بالطريقة التالية
أبدأ - تشغيل - ثم أكتب في المربع الأمر التالي
Regedit ( كما في شكل 1 )
ثم أذهب إلى المفتاح التالي
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV

ersionRun

ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لأن السيرفر لا اسم محدد له وقد يكون بأي اسم
من ثم أذهب إلى المجلد التالي
c:WindowsSystem
وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح –وعادة ما سيرفض ذلك لأنه يعمل في نفس الوقت الذي تحاول مسحه - فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح ما بيت 400 كيلوبايت و 500 كيلوبايت فقط
ثم قم بأعادة تشغيل جهازك وستجد أن السيرفر قد تم أزالته عند مراجعتك للخطوات السابقة

السب سيفن Sub7 :
برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك
يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك
Kernel.dl
Rundll16.exe
Movokh_32.dll
Watching.dll
Nodll.exe
مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق
:كما يقوم بأنشاء القيم التالية في سجل الويندوز لديك
HKEY_LOCAL_MACHINESoftwareCLASSES.dl HKEY_LOCAL_MACHINESoftwareMicrosoftDirectXMediaKER

NEL16="KERNEL16.DL" HKEY_LOCAL_MACHINESoftwareCLASSES.dl@=exefile
أيضا يقوم السيرفر بأضافة أوامر للملفات التالية
System.ini ===>Shell=Explorer.exe rundll16.exe
Win.ini ====> Run=????.exe Or Load=????.exe
والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق
:وطريقة التخلص منه كالتالي
قم بالذهاب الى الملفين
System.ini
Win.ini
عن طريق الخطوات : أبدأ- تشغيل - ثم أكتب في مربع التشغيل
msconfig

بالنسبة لملف الوين فقط قم بالبحث عن الأوامر التالية :
Load=???.exe
Load=???.dll
Run=???.exe
وعلامات الأستفهام ترمز الى اسم السيرفر وقد تكون أي شئ
ثم أذهب الى الملف النظام وفي السطر الخامس تقريبا ستجد شيئاً كالتالي
Shell=Explorer.exe
وأذا وجدت السطر مكتوبا بطريقة غير السابق قم بتعديله ليصبح كالسابق وقد يكون هكذا اسمه
Shell=Explorer.exe ???.dll
وعلامات الأستفهام ترمز لأسم السيرفر فقط قم أنت بتعديل السطر الى
Shell=Explorer.exe
بعد ذلك أذهب الى محرر التسجيل عن طريق الخطوات
أبدا ثم تشغيل ثم أكتب في مربع النص التالي
Regedit
وأذهب الى المفتاح التالي
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV

ersionRun
وستجد على القائمة اليمنى أسم السيرفر وستعرفه بالطبع لأنه سيكون بنفس الأسم الذي وجدته سابقاً في ملف النظام فقط قم بمسح القيم التي ترمز الى السيرفر بالنقر على زر الحذف
والآن قم بأعادة تشغيل جهازك وأذهب الى مجلد الويندوز وقم بحذف السيرفر وسيكون اسمه معروفا لك الآن

The FreeLinl :
وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة
VB scripting
حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو
Check this
وتكون الرسالة المصاحبة لهذا العنوان هي :
Have fun with these links. Bye
فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما :
c:windowslinks.vbs c:windowssystemrundll.vbs
أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز
HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV

ersionRunRundll
=RUNDLL.VBS
وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي
Free XXX links
وتحت العنوان تظهر الرسالة التالية:
This will add a shortcut to free XXX links on your desktop Do you want to continue?
ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثلmirc
MIRC32.exe Pirch98.exe
وسوف يقوم بتعديل الملفات التالية :
SCRIPT.INI EVENTS.INI
وذلك حتى يتمكن من إرسال
LINKS.VBS
إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين
والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي
VBS Freelink
كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه
أولا : قم بالبحث عن الملفات التالية
LINKS.VBS RUNDLL.VBS
و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما
ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك.
ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع
Regedit
وستجد القيمة التالية فيه فقط قم بمسحها تماما
HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV

ersionRunRundll
=RUNDLL.VBS
بعد ذلك قم بأعادة تشغيل الويندوز

Happy99 :
وهو أيضا يضع خادم له داخل جهازك تحت اسم
SKA.EXE
وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ ذلك. ثم يقوم بتغير الملف
WSOCK32.DLL
ويحتفظ بالملف الأصلي تحت اسم
WSOCK32.SKA
ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه
Happy99
وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها
الأسماء المستعارة لهذا البرنامج هي :
win32.ska ska wsocks.ska ska.exe
كيفية التخلص منة:
قم بالبحث عن الملفات التالية في المجلد التالي :
C:Windowssystem
SKS.EXE SKA.DLL WSOCK32.SKA
إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية :
SKA.EXE SKA.DLL WSOCK32.DLL
بعد ذلك قم بإعادة تسمية الملف
WSOCK32.SKA
إلى الاسم التالي
WSOCK32.DLL

حسين الرويعي · 17-05-02, 02:45 PM

فقط يستطيع التمكن من وندوز 95 و وندوز 98 وقد انتشر عن طريق البريد الإلكتروني تحت اسم
K2PS.EXE
حيث تقول رسالة هذا البريد الذي قد يصل إلى أي شخص أن هناك فيروس اسمه
TX-500
وأنه هو برنامج مضاد لهذا الفيروس. طبعا كما تعرف هذه كانت مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الإنترنت بالإضافة إلى كلمة السر الخاصة بك ثم التحكم به وبالبريد الإلكتروني لك. وأيضا يمكنه تغيير كلمة السر الخاصة بك. والطريقة المفضلة إذا أحسست بهذا التغير قم مباشرة بتغير كلمة السر ثم قم بإلغاء الملفات التالية
K2PS.EXE K2PS.CFG
قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب
Regedit ( شكل 1 )
ثم أذهب إلى القيمة التالية وقم بمسحها
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowCurrentVe

rsionC:
WINDOWSSYSTEMK2PS.EXE

Paradise :
وهو أقوى من برنامج
Back Orifice
ويحتاج أيضا إلى خادم يسمى
agent.exe
ويستطيع إلغاء ملفات وإنشائهم ويستطيع فتح وغلق النوافذ على جهازك ويستطيع عمل محادثة معك
chatting
ويستطيع عمل أشياء أخرى.
كيفية التخلص منة :
يمكنك التخلص منة باستخدام البرنامج
The cleaner
وسوف تجد هذا البرنامج في الموقع التالي :
www.dynamsol.com/puppet/thecleaner.html
PrettyPrk :
هذا البرنامج يستطيع الانتشار أيضا عن طريق البريد الإلكتروني. فعند تنفيذه سوف يقوم بإرسال نفسه إلى العناوين الموجودة في
windows address book
وسوف يخبر المستخدمين الموجودين على IRC
عند إعدادات النظام وكلمات السر. وسوف يقوم بنسخ نفسه داخل المجلد التالي
C:WindowsSystem
مع الملف
files32.VXD
أيضا سوف يقوم بتسجيل نفسه داخل القيمة التالية في سجل الويندوز
HKEY_CLASSES_ROOT exefileshellopencommandfiles32.vxd
فقط قم بإلغائها بالذهاب إلى أبدأ ثم تشغيل ثم أكتب
Rededit

ProMail :
انتشر كثيرا هذا البرنامج بطريقة
freeware و shareware
وقد انتشر تحت هذا الاسم
proml121.zip
وهو ملف غير مضغوط داخل هذا الملف
promail.exe
فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة. :كيفية التخلص منة إذا كان لديك هذا البرنامج
Promail
قم مباشرة بإلغائه

Sockets :
وهذا البرنامج خطير جدا وهو تقريبا فيروس. وهو لا يقوم فقط بتحميل خادم له ولكنة يصيب عددا من الملفات المنتهية بالأحرف
exe
وله نفس خصائص البرامج الأخرى التي تعمل معالبريد الألكتروني والأيسكيو
كيفية التخلص منة : باستخدام البرنامج
Anti Troie
وهو برنامج جيد للقضاء علية وسوف تجده في الموقع التالي :www.pobox.com/~cd
ZipFile :
وهو أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي . وهو يستطيع نشر نفسه بنفسه باستخدام البريد الألكتروني
فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية :
Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.
وعندما يتمكن من نشر نفسه باستخدام البريد الألكتروني فانه يقوم بإرسال نفسه مرة أخرى تحت اسم
Zipped_files.exe
إلى جميع العناوين التي استقبلت منهم رسائل سابقة مرفق به هذه الرسالة
Hi, username received your email and I shall send you a reply ASAP. Till then, take a look at this attached zip docs Bye
أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية :
DOC XLS PPt C CPP H
وللأسف فأنة صعب جدا إن تستعيد تلك الملفات باستخدام الأمر undelete
الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي :
worm.explore.zip win32.explore explore.zip
طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98 قم بالضغط على
CTRL ALT DEL
وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي
Zipped_files Explore _setup
ملاحظة مهمة : يجب أن تفرق بين اسم الملف السابق
Explore
وبين المتصفح
Explorer
فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية :
C:windows_setup.exe C:windowsExplore.exe
بعد ذلك قم بإلغاء الأسطر التالية والموجودة في
WIN.INI
باستخدام الأمر
Sysedit او msconfig
ثم اذهب إلى أبدأ ثم تشغيل والأسطر هي
run=setup.exe run=c:windowssystemexplore.exe
أيضا قم بإلغاء السطر التالي باستخدام الأمر
regedit
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe

rsionWindowsRun

c

copy

17-05-02, 02:44 PM	#1
حسين الرويعي THE LION	اعرف وطبق هذي المعلومات وتخلص من ملفات التجسس والتخريب أغلب برامج التجسس الشخصية تتكون عادة من ملفين الأول هو ما يسمى بالريموت وهذا هو الملف الذي يتحكم به المخترق في جهازك وينزل عن طريق هذه الأداة المعلومات التي يريد من نظامك والملف الثاني هو ما يسمى بالخادم وله عدة أسماء ثانية مثل السيرفرserver أو الباتش batch وهذا الملف لابد من من أن تقوم بتشغيله في جهازك لكي يستطيع المخترق أن يدخل جهازك كل برنامج من برامج التجسس يستخدم سيرفر خاص به يدعم خصائصه وعادة ما يتراوح حجم السيرفر من 100 كيلوبايت الى 400 كيلوبايت والحجم يعتمد على كمية الخصائص الموجودة بالريموت والحجم لا أساس له فقد يقوم المخترق بدمج ملف السيرفر مع برنامج آخر أو لعبة صغيرة لتقوم أنت بتشغيلها وفي كل مرة تقوم بتشغيل اللعبة أو البرنامج فأن السيرفر المدمج بها يقوم بتشغيل نفسه أوتوماتيكياً ولرؤية قائمة بالبرامج التي تعمل على دمج السيرفر أو الفيروس بأي ملف او برنامج اذهب للموقع التالي paragon.revoluti0n.org/dlbind.htm وملف السيرفر يقوم بفتح منفذ لديك بجهازك ليستقبل عن طريقه الأوامر المرسلة اليه من المخترق عن طريق أداة الريموت ويرد عليه بالمعلومات المطلوبة عن طريق نفس المنفذ والمنفذ الذي يستخدمه السيرفر يختلف من برنامج أختراق لآخر وبعض البرامج تقوم بتخييرك لأي منفذ تريد الأختراق عبره وبمجال معين لكل برنامج ولرؤية قائمة بالمنافذ الأفتراضية لبرامج الأختراق الشهيرة اذهب للموقع التالي : paragon.revoluti0n.org/Te...nports.txt والسيرفر عادة يعمل تلقائيا في كل مرة تقوم فيها بتشغيل الويندوز لديك ولا يمكنك التخلص منه بأعادة تشغيل جهازك فقط وهنالك عدة برامج تعمل على تنظيف جهازك من الباتشات وأشهرها هو الكلينر أو المنظف ويمكنك الحصول عليه من موقع كويت كيسwww.qkiss.com/ولكن هذه البرامج غير عملية فقد يعمل المخترق على تغيير الكود الخاص بالسيرفر بحيث لا تكتشفه برامج الأختراق ومن الممكن أن يغير رقم المنفذ الذي يتعامل مع السيرفر عن طريقه وأفضل طريقة لأبقاء جهازك بعيدا عن أيدي المخترقين هي تنظيفه بنفسك ولقد حاولت هنا قدر الأمكان جمع المعلومات عن طرق عمل سيرفرات الأختراق وكيفية أزالتها من جهازك بالطريقة السليمة وبنفسك الباك دور BackDoor : وهو أيضا يحتاج إلى خادم لتشغيله. ويوجد إصدارين من هذا البرنامج. للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك : DATA2.EXE TINURAK.EXE WATCHING.DLL وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك : كلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةكلمة ممنوعةEXE NODLL.EXE SERVER_33.DLL ---------------الباك اورفيس : برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا - تقريباً 120 كيلوبايت فقط والمنفذ الذي يستخدمه الباك اورفيس هو 31337 فقط والتخلص منه يكون بالخطوات التالية : قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب Regedit ثم قم بالذهاب الى المفتاح التالي : HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunService قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120 كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك ثم أذهب للمجلد التالي C:WindowsSystem وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه Windll.dll قم بحذفه هو أيضا لأنه تابع لباك أورفيس بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا الباك اورفيس 2000 BO2k: وهو يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ، ولهذا البرنامج نسختين الأولى تسمى النسخة الأمريكية وهي أكبر حجما من النسخة الأخرى بالكيلو بايت طبعا. أيضا لهذه النسخة ميزة أخرى تعرف ب DES encryption أما النسخة الثانية فتسمى النسخة الدولية الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي : BO2K backdoor.BO2K طريقة معرفة وجودة في جهازك والتخلص منه : يوجد الآن برنامج واحد لحمايتك من هذا البرنامج تجده في الموقع التالي -------------------www.spiritone.com/~cbenso...rifice.htm ---------- النت بس NetBus 1.x : ويستخدم خادم داخل جهازك ومتمكن أيضا من وندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا أن يفتح محرك أقراص الليزر الخاص بك أيضا باستطاعته سماع كل شي تقوله إذا كنت موصل مايكروفون مع جهازك وأشياء أخرى عديدة حجم السيرفر الخاص به هو 470 كيلو بايت ، ويمكن لصاحبه الدخول اليك من المنفذ 12345 والمنفذ 12346 طريقة التخلص منه كالتالي : قم بتشغيل محرر التسجيل وذلك بالطريقة التالية أبدأ - تشغيل - ثم أكتب في المربع الأمر التالي Regedit ( كما في شكل 1 ) ثم أذهب إلى المفتاح التالي HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لأن السيرفر لا اسم محدد له وقد يكون بأي اسم من ثم أذهب إلى المجلد التالي c:WindowsSystem وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح –وعادة ما سيرفض ذلك لأنه يعمل في نفس الوقت الذي تحاول مسحه - فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح ما بيت 400 كيلوبايت و 500 كيلوبايت فقط ثم قم بأعادة تشغيل جهازك وستجد أن السيرفر قد تم أزالته عند مراجعتك للخطوات السابقة السب سيفن Sub7 : برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك Kernel.dl Rundll16.exe Movokh_32.dll Watching.dll Nodll.exe مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق :كما يقوم بأنشاء القيم التالية في سجل الويندوز لديك HKEY_LOCAL_MACHINESoftwareCLASSES.dl HKEY_LOCAL_MACHINESoftwareMicrosoftDirectXMediaKER NEL16="KERNEL16.DL" HKEY_LOCAL_MACHINESoftwareCLASSES.dl@=exefile أيضا يقوم السيرفر بأضافة أوامر للملفات التالية System.ini ===>Shell=Explorer.exe rundll16.exe Win.ini ====> Run=????.exe Or Load=????.exe والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق :وطريقة التخلص منه كالتالي قم بالذهاب الى الملفين System.ini Win.ini عن طريق الخطوات : أبدأ- تشغيل - ثم أكتب في مربع التشغيل msconfig بالنسبة لملف الوين فقط قم بالبحث عن الأوامر التالية : Load=???.exe Load=???.dll Run=???.exe وعلامات الأستفهام ترمز الى اسم السيرفر وقد تكون أي شئ ثم أذهب الى الملف النظام وفي السطر الخامس تقريبا ستجد شيئاً كالتالي Shell=Explorer.exe وأذا وجدت السطر مكتوبا بطريقة غير السابق قم بتعديله ليصبح كالسابق وقد يكون هكذا اسمه Shell=Explorer.exe ???.dll وعلامات الأستفهام ترمز لأسم السيرفر فقط قم أنت بتعديل السطر الى Shell=Explorer.exe بعد ذلك أذهب الى محرر التسجيل عن طريق الخطوات أبدا ثم تشغيل ثم أكتب في مربع النص التالي Regedit وأذهب الى المفتاح التالي HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun وستجد على القائمة اليمنى أسم السيرفر وستعرفه بالطبع لأنه سيكون بنفس الأسم الذي وجدته سابقاً في ملف النظام فقط قم بمسح القيم التي ترمز الى السيرفر بالنقر على زر الحذف والآن قم بأعادة تشغيل جهازك وأذهب الى مجلد الويندوز وقم بحذف السيرفر وسيكون اسمه معروفا لك الآن The FreeLinl : وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة VB scripting حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو Check this وتكون الرسالة المصاحبة لهذا العنوان هي : Have fun with these links. Bye فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما : c:windowslinks.vbs c:windowssystemrundll.vbs أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV ersionRunRundll =RUNDLL.VBS وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي Free XXX links وتحت العنوان تظهر الرسالة التالية: This will add a shortcut to free XXX links on your desktop Do you want to continue? ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثلmirc MIRC32.exe Pirch98.exe وسوف يقوم بتعديل الملفات التالية : SCRIPT.INI EVENTS.INI وذلك حتى يتمكن من إرسال LINKS.VBS إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي VBS Freelink كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه أولا : قم بالبحث عن الملفات التالية LINKS.VBS RUNDLL.VBS و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك. ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع Regedit وستجد القيمة التالية فيه فقط قم بمسحها تماما HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV ersionRunRundll =RUNDLL.VBS بعد ذلك قم بأعادة تشغيل الويندوز Happy99 : وهو أيضا يضع خادم له داخل جهازك تحت اسم SKA.EXE وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ ذلك. ثم يقوم بتغير الملف WSOCK32.DLL ويحتفظ بالملف الأصلي تحت اسم WSOCK32.SKA ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه Happy99 وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها الأسماء المستعارة لهذا البرنامج هي : win32.ska ska wsocks.ska ska.exe كيفية التخلص منة: قم بالبحث عن الملفات التالية في المجلد التالي : C:Windowssystem SKS.EXE SKA.DLL WSOCK32.SKA إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية : SKA.EXE SKA.DLL WSOCK32.DLL بعد ذلك قم بإعادة تسمية الملف WSOCK32.SKA إلى الاسم التالي WSOCK32.DLL __________________

17-05-02, 02:45 PM	#2
حسين الرويعي THE LION	فقط يستطيع التمكن من وندوز 95 و وندوز 98 وقد انتشر عن طريق البريد الإلكتروني تحت اسم K2PS.EXE حيث تقول رسالة هذا البريد الذي قد يصل إلى أي شخص أن هناك فيروس اسمه TX-500 وأنه هو برنامج مضاد لهذا الفيروس. طبعا كما تعرف هذه كانت مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الإنترنت بالإضافة إلى كلمة السر الخاصة بك ثم التحكم به وبالبريد الإلكتروني لك. وأيضا يمكنه تغيير كلمة السر الخاصة بك. والطريقة المفضلة إذا أحسست بهذا التغير قم مباشرة بتغير كلمة السر ثم قم بإلغاء الملفات التالية K2PS.EXE K2PS.CFG قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب Regedit ( شكل 1 ) ثم أذهب إلى القيمة التالية وقم بمسحها HKEY_LOCAL_MACHINESoftwareMicrosoftWindowCurrentVe rsionC: WINDOWSSYSTEMK2PS.EXE Paradise : وهو أقوى من برنامج Back Orifice ويحتاج أيضا إلى خادم يسمى agent.exe ويستطيع إلغاء ملفات وإنشائهم ويستطيع فتح وغلق النوافذ على جهازك ويستطيع عمل محادثة معك chatting ويستطيع عمل أشياء أخرى. كيفية التخلص منة : يمكنك التخلص منة باستخدام البرنامج The cleaner وسوف تجد هذا البرنامج في الموقع التالي : www.dynamsol.com/puppet/thecleaner.html PrettyPrk : هذا البرنامج يستطيع الانتشار أيضا عن طريق البريد الإلكتروني. فعند تنفيذه سوف يقوم بإرسال نفسه إلى العناوين الموجودة في windows address book وسوف يخبر المستخدمين الموجودين على IRC عند إعدادات النظام وكلمات السر. وسوف يقوم بنسخ نفسه داخل المجلد التالي C:WindowsSystem مع الملف files32.VXD أيضا سوف يقوم بتسجيل نفسه داخل القيمة التالية في سجل الويندوز HKEY_CLASSES_ROOT exefileshellopencommandfiles32.vxd فقط قم بإلغائها بالذهاب إلى أبدأ ثم تشغيل ثم أكتب Rededit ProMail : انتشر كثيرا هذا البرنامج بطريقة freeware و shareware وقد انتشر تحت هذا الاسم proml121.zip وهو ملف غير مضغوط داخل هذا الملف promail.exe فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة. :كيفية التخلص منة إذا كان لديك هذا البرنامج Promail قم مباشرة بإلغائه Sockets : وهذا البرنامج خطير جدا وهو تقريبا فيروس. وهو لا يقوم فقط بتحميل خادم له ولكنة يصيب عددا من الملفات المنتهية بالأحرف exe وله نفس خصائص البرامج الأخرى التي تعمل معالبريد الألكتروني والأيسكيو كيفية التخلص منة : باستخدام البرنامج Anti Troie وهو برنامج جيد للقضاء علية وسوف تجده في الموقع التالي :www.pobox.com/~cd ZipFile : وهو أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي . وهو يستطيع نشر نفسه بنفسه باستخدام البريد الألكتروني فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية : Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help. وعندما يتمكن من نشر نفسه باستخدام البريد الألكتروني فانه يقوم بإرسال نفسه مرة أخرى تحت اسم Zipped_files.exe إلى جميع العناوين التي استقبلت منهم رسائل سابقة مرفق به هذه الرسالة Hi, username received your email and I shall send you a reply ASAP. Till then, take a look at this attached zip docs Bye أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية : DOC XLS PPt C CPP H وللأسف فأنة صعب جدا إن تستعيد تلك الملفات باستخدام الأمر undelete الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي : worm.explore.zip win32.explore explore.zip طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98 قم بالضغط على CTRL ALT DEL وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي Zipped_files Explore _setup ملاحظة مهمة : يجب أن تفرق بين اسم الملف السابق Explore وبين المتصفح Explorer فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية : C:windows_setup.exe C:windowsExplore.exe بعد ذلك قم بإلغاء الأسطر التالية والموجودة في WIN.INI باستخدام الأمر Sysedit او msconfig ثم اذهب إلى أبدأ ثم تشغيل والأسطر هي run=setup.exe run=c:windowssystemexplore.exe أيضا قم بإلغاء السطر التالي باستخدام الأمر regedit HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionWindowsRun c copy __________________

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
كيف تعلم ملفات التجسس Spyware	شروفه	ركن الأمن والحماية	6	24-10-08 04:19 AM
الانترنت ... المعلومات ... الهكرز	ملاك القلوب	منتدى الكمبيوتر والإنترنت	3	31-08-06 12:46 PM
الهاكرز - Hackers	Black Knight	منتدى الكمبيوتر والإنترنت	2	25-02-03 05:31 PM
كيف تحمى جهازك من الاختراق	Black Knight	منتدى الكمبيوتر والإنترنت	1	01-02-03 01:04 PM

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)

توثيق المعلومة ونسبتها إلى مصدرها أمر ضروري لحفظ حقوق الآخرين
المنتدى يستخدم برنامج الفريق الأمني للحماية

.:: جميع الحقوق محفوظة 2023 م ::.