الهكرز تعليم وحماية الجزء الرابع

السب سيفن Sub7 :

برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك

يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك

Kernel.dl

Rundll16.exe

Movokh_32.dll

Watching.dll

Nodll.exe

مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق

:كم يقوم بأنشاء القيم التالية في سجل الويندوز لديك

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl
HKEY_LOCAL_MACHINE\Software\Microsoft\DirectXMedia

KERNEL16="KERNEL16.DL"
HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile

أيضا يقوم السيرفر بأضافة أوامر للملفات التالية

System.ini ===>Shell=Explorer.exe rundll16.exe

Win.ini ====> Run=????.exe Or Load=????.exe

والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق

:وطريقة التخلص منه كالتالي

قم بالذهاب الى الملفين

System.ini

Win.ini

عن طريق الخطوات : أبدأ- تشغيل - ثم أكتب في مربع التشغيل

Sysedit

:بالنسبة لملف الوين فقط قم بالبحث عن الأوامر التالية

Load=???.exe

Load=???.dll

Run=???.exe

وعلامات الأستفهام ترمز الى اسم السيرفر وقد تكون أي شئ

ثم أذهب الى الملف النظام وفي السطر الخامس تقريبا ستجد شيئاً كالتالي

Shell=Explorer.exe

وأذا وجدت السطر مكتوبا بطريقة غير السابق قم بتعديله ليصبح كالسابق وقد يكون هكذا اسمه

Shell=Explorer.exe ???.dll

وعلامات الأستفهام ترمز لأسم السيرفر فقط قم أنت بتعديل السطر الى

Shell=Explorer.exe

بعد ذلك أذهب الى محرر التسجيل عن طريق الخطوات

أبدا ثم تشغيل ثم أكتب في مربع النص التالي

Regedit

وأذهب الى المفتاح التالي

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr

entVersion\Run

وستجد على القائمة اليمنى أسم السيرفر وستعرفه بالطبع لأنه سيكون بنفس الأسم الذي وجدته سابقاً في ملف النظام فقط قم بمسح القيم التي ترمز الى السيرفر بالنقر على زر الحذف

والآن قم بأعادة تشغيل جهازك وأذهب الى مجلد الويندوز وقم بحذف السيرفر وسيكون اسمه معروفا لك الآن

-----------------------------------------------

The FreeLinl :

وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة

VB scripting

حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو

Check this

:وتكون الرسالة المصاحبة لهذا العنوان هي

Have fun with these links. Bye

:فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما

c:\windows\links.vbs
c:\windows\system\rundll.vbs

:أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز

HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr

entVersion\Run\Rundll=RUNDLL.VBS

:وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي

Free XXX links

:وتحت العنوان تظهر الرسالة التالية

This will add a shortcut to free XXX links on your desktop Do you want to continue?

:ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثل الميرك

MIRC32.exe
Pirch98.exe

وسوف يقوم بتعديل الملفات التالية :

SCRIPT.INI
EVENTS.INI

:وذلك حتى يتمكن من إرسال

LINKS.VBS

إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين

:والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي

VBS
Freelink

:كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه
أولا : قم بالبحث عن الملفات التالية

LINKS.VBS
RUNDLL.VBS

و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما
ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك.
ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع

Regedit

وستجد القيمة التالية فيه فقط قم بمسحها تماما

HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr

entVersion\Run\Rundll=RUNDLL.VBS

بعد ذلك قم بأعادة تشغيل الويندوز

تابع >>>>>>>>>>>>>>>>>>

Happy99 :

وهو أيضا يضع خادم له داخل جهازك تحت اسم

SKA.EXE

وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ ذلك. ثم يقوم بتغير الملف

WSOCK32.DLL

ويحتفظ بالملف الأصلي تحت اسم

WSOCK32.SKA

ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه

Happy99

وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها
:الأسماء المستعارة لهذا البرنامج هي

win32.ska
ska
wsocks.ska
ska.exe

:كيفية التخلص منة
:قم بالبحث عن الملفات التالية في المجلد التالي

C:\Windows\system

SKS.EXE
SKA.DLL
WSOCK32.SKA

:إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية

SKA.EXE
SKA.DLL
WSOCK32.DLL

بعد ذلك قم بإعادة تسمية الملف

WSOCK32.SKA

:إلى الاسم التالي

WSOCK32.DLL

----------------------------

K2Ps :

فقط يستطيع التمكن من وندوز 95 و وندوز 98
وقد انشر عن طريق البريد الإلكتروني تحت اسم

K2PS.EXE

حيث تقول رسالة هذا البريد الذي قد يصل إلى أي شخص أن هناك فيروس اسمه

TX-500

وأنه هو برنامج مضاد لهذا الفيروس. طبعا كما تعرف هذه كانت مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الإنترنت بالإضافة إلى كلمة السر الخاصة بك ثم التحكم به وبالبريد الإلكتروني لك. وأيضا يمكنه تغيير كلمة السر الخاصة بك.
والطريقة المفضلة إذا أحسست بهذا التغير قم مباشرة بتغير كلمة السر
:ثم قم بإلغاء الملفات التالية

K2PS.EXE
K2PS.CFG

قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب

Regedit

:ثم أذهب إلى القيمة التالية وقم بمسحها

HKEY_LOCAL_MACHINE\Software\Microsoft\Window\Curre

ntVersion\C:\WINDOWS\SYSTEM\K2PS.EXE

-------------------------------------------

Paradise :

وهو أقوى من برنامج

Back Orifice
ويحتاج أيضا إلى خادم يسمى

agent.exe

ويستطيع إلغاء ملفات وإنشائهم ويستطيع فتح وغلق النوافذ على جهازك ويستطيع عمل محادثة معك

chatting

ويستطيع عمل أشياء أخرى.
كيفية التخلص منة : يمكنك التخلص منة باستخدام البرنامج

The cleaner
وسوف تجد هذا البرنامج في الموقع التالي :

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

-----------------------------------------------------

PrettyPrk :

هذا البرنامج يستطيع الانتشار أيضا عن طريق البريد الإلكتروني. فعند تنفيذه سوف يقوم بإرسال نفسه إلى العناوين الموجودة في

windows address book

وسوف يخبر المستخدمين الموجودين على

IRC

عند إعدادات النظام وكلمات السر. وسوف يقوم بنسخ نفسه داخل المجلد التالي

C:\Windows\System

مع الملف

files32.VXD

أيضا سوف يقوم بتسجيل نفسه داخل القيمة التالية في سجل الويندوز

HKEY_CLASSES_ROOT \exefile\shell\open\command\files32.vxd

فقط قم بإلغائها بالذهاب إلى أبدأ ثم تشغيل ثم أكتب

Rededit

---------------------------------------------

ProMail :

انتشر كثيرا هذا البرنامج بطريقة

freeware و shareware

وقد انتشر تحت هذا الاسم

proml121.zip

وهو ملف غير مضغوط داخل هذا الملف

promail.exe

فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة.
:كيفية التخلص منة
إذا كان لديك هذا البرنامج

Promail

قم مباشرة بإلغائه

--------------------------------------------------

Sockets :

وهذا البرنامج خطير جدا وهو تقريبا فيروس. وهو لا يقوم فقط بتحميل خادم له ولكنة يصيب عددا من الملفات المنتهية بالأحرف

exe

وله نفس خصائص البرامج الأخرى التي تعمل معالبريد الألكتروني والأيسكيو

كيفية التخلص منة : باستخدام البرنامج

Anti Troie

:وهو برنامج جيد للقضاء علية وسوف تجده في الموقع التالي

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

-------------------------------------------------

ZipFile :

وهو أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي . وهو يستطيع نشر نفسه
بنفسه باستخدام البريد الألكتروني
:فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية

Canليس open file; it does ليس appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.

وعندما يتمكن من نشر نفسه باستخدام البريد الألكتروني فانه يقوم بإرسال نفسه مرة أخرى تحت اسم

Zipped_files.exe

: إلى جميع العناوين التي استقبلت منهم رسائل سابقة مرفق به هذه الرسالة

Hi, username received your email and I shall send you a reply ASAP.
Till then, take a look at this attached zip docs Bye

:أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية

DOC
XLS
PPt
C
CPP
H

وللأسف فأنة صعب جدا إن تستعيد تلك الملفات باستخدام الأمر undelete
:الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي

worm.explore.zip
win32.explore
explore.zip

:طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98
:قم بالضغط على

CTRL ALT DEL

:وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي

Zipped_files
Explore
_setup

ويجب أن تفرق بين اسم الملف السابق

Explore

وبين المتصفح

Explorer

:فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية

C:\windows\_setup.exe
C:\windows\Explore.exe

بعد ذلك قم بإلغاء الأسطر التالية والموجودة في

WIN.INI

باستخدام الأمر

Sysedit

:بعد الذهاب إلى أبدأ ثم تشغيل والأسطر هي

run=setup.exe
run=c:\windows\system\explore.exe

أيضا قم بإلغاء السطر التالي باستخدام الأمر
regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre

ntVersion\Windows\Run

» تابع الدرس السادس والاخير من الهكرز
» طريقة اخفاء الآي بي عن عيون الهكرز بدون برامج
» تعليم دريم ويفر, تعليم فرونت بيج, تعليم فوتوشوب, تعلم فلاش فيديو باللغة العربية مجانا
» موسوعة الهكرز وكل شي تريد معرفته عن الهكرز
» تعلم الهكرز من الالف الى الياء