منتدى البلدوزر

منتدى البلدوزر


 
الرئيسيةالتسجيلدخول
المواضيع الأخيرة
» الإصدار النهائى من الريشة السلوفاكية Eset Smart Security
الخميس فبراير 23, 2017 12:31 pm من طرف صقر الحاسب

» الاصدار الأخير من الحصان الذهبى الداعم للعربية
الخميس فبراير 23, 2017 12:26 pm من طرف صقر الحاسب

» ESET Smart Security Arabic نسخه معربه لاتحتاج الى تعريب !!
الأربعاء مارس 26, 2014 9:31 am من طرف samar09

» اقوى ادوات لجعل الويندوز اصلى
الأحد مارس 16, 2014 12:14 am من طرف ادعلي

» العفو سلاح الأقوياء
الإثنين نوفمبر 19, 2012 6:48 am من طرف صقر الحاسب

» أهل السنة والجماعة .. الخصائص والمعتقدات
الإثنين نوفمبر 19, 2012 6:44 am من طرف صقر الحاسب

» اسطوانة التلاوات الخاشعة - رائعة
الإثنين نوفمبر 19, 2012 6:38 am من طرف صقر الحاسب

» سورة التحريم بتلاوة ماهر المعقلى
الإثنين نوفمبر 19, 2012 6:36 am من طرف صقر الحاسب

» انظروا الى رحمة افضل الخلق
الإثنين نوفمبر 19, 2012 6:34 am من طرف صقر الحاسب


شاطر | 
 

 كل شيء عن فيرس Win32.Sality.ag

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
صقر الحاسب
مشرف
avatar

عدد المساهمات : 221
تاريخ الميلاد : 01/01/1980
تاريخ التسجيل : 02/05/2010
العمر : 37

مُساهمةموضوع: كل شيء عن فيرس Win32.Sality.ag   الأربعاء مايو 05, 2010 7:14 am

تفاصيل عن الفيروس :



هذا البرنامج الضار يصيب ملفات على كمبيوتر الضحية. وهو مصمم لتنزيل وإطلاق برامج خبيثة أخرى على
كمبيوتر الضحية دون علم المستخدم أو موافقته. وهو ملف ويندوز EXE. مبرمج بلغة + +C


كيف يشتغل :



عند تشغيل الحاسب مباشرة يقيم الفيروس يقوم بانشاء ملف في فهرس النظام تحت اسم عشوائي


%System%\drivers\.sys
والـ يجري سلسلة عشوائية من الأحرف الكبيرة اللاتينية ، مثل "INDSNN"
وهدا الملف هو برنامج تشغيل وضع نواة حجمه 5157 بايت
وقد تم الكشف عنه من قبل Kaspersky Anti-Virus تحت اسم Virus.Win32.Sality.ag


كيف ينتشر :



هدا الفيروس يصيب ملفات ويندوز إكس بي ، دوي الامتدادت التالية
EXE
SCR

وفقط الملفات التي تحتوي على الأقسام التالية تصاب به
TEXT
UPX
CODE

و عند انتشاره ينشأ ملف ملغوم تحت اسم الملف الأصلي الموجود بداخله
ويقوم بانشاء ملف في ريجيستر الملفات المؤقتة تحت اسم
%Temp%\__Rar\.exe
وليضمن البرنامج اشتغال تلقائى يقوم بصنع نسخ عن نفسه على جميع الأقراص
تحت أسماء عشوائية تحت الامتدادات التالية
exe.
.pif.
cmd.

يتم تشغيلها تشغيلها تلقائيا كلما دخلت الأقراص
وهو أيضا يقوم بزرع ملف مخفي مع الملحقات التي يتم اختيارها عشوائيا
في مجلدات جدر الأقراص تحت اسم :
autorun.inf
وبهدا عند دخول القرص C مثلا يتم تشغيل الفيروس عن طريق الأمر التلقائي الدي
يقوم بتنفيده Autorun.inf


مضمون الفيروس :



يحتوي الفيروس على روابط خبيثة يقوم بالتحميل منها تحديثاته
ويقوم بتنزيل الملفات التالية :
Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu



وقد صممت جميع هذه البرامج الخبيثة لتوزيع البريد المزعج (SPAM)
وبصرف النظر عن عن مايقوم بتحميله ، يمكن للفيروس تعديل مجموعة من المعلومات في نظام التشغيل
بما في ذلك ما يلي :
1-تعطيل إدارة المهام ومنع تحرير تسجيل النظام عن طريق تعديل معلمات التسجيل التالية:


[HKÑU\Software\Microsoft\Windows\CurrentVersion\Po licies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001


2-تعديل الإعدادات من مركز أمن الويندوز عن طريق إنشاء مفتاح التسجيل التالي :

[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001


3-ضمان أن لا يتم عرض الملفات المخفية وذلك بإضافة المعلمة التالية لنظام التسجيل :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
Advanced]
"Hidden"=dword:00000002



4-يثبت خيارات على المتصفح الافتراضي تطلق دائما في وضع الاتصال ،
ويضيف التسجيل التالي الى الريجيستري :



[HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]
"GlobalUserOffline"=dword:00000000



5-تعطيل البرنامج التحكم في حساب المستخدم بواسطة تعيين مفتاح التسجيل "EnableLUA" to “0” :


[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system]
"EnableLUA"=dword:00000000



6-ويضيف التقرير نفسه إلى جدار الحماية ويندوز كتطبيق يسمح بالوصول إلى الشبكة.
و للقيام بذلك فإنه يحفظ المعلمة التالية في مفتاح التسجيل:


[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
""
= ":*:Enabled:ipsec

"

حيث إنه ينشئ مفاتيح التسجيل فيه مخازن البيانات التشغيلية
HKCU\Software\
حيث -- هو قيمة التعسفي.


7-يبحث عن ملف يدعى WinDir%\system.ini :
ويضيف السجل التالي له
[MCIDRV_VER]
DEVICEMB=509102504668 (any arbitrary number
)

8-يحذف مفاتيح التسجيل التالية ، مما يجعل من المستحيل الدخول بالكمبيوتر المصاب في الوضع الآمن :


HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot



9-حذف الملفات تحت امتداد *exe. & .rar* من المجلد للمستخدم الحالي المؤقت :
%Temp%\


كيفية القضاء على الفيروس :



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
Antivirus PLUS
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
Version final
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
من شركة RockstarBoy [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]:


[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]


وبعدها سيقوم بعمل تحديث سريع
وبعد دلك قم بعمل سكان للكمبيوتر ولا تمل أبدا حتى ولو طالت مدة السكان
وسيتم سحق الفيروس نهائيا
مثال أنا استغرقت2ساعة على قرص 200 GB



أرجو الاستفادة للجمع ودمتم في رعاية الله

(منقول للافادة)
الرجوع الى أعلى الصفحة اذهب الى الأسفل
kemo
مدير
avatar

عدد المساهمات : 217
تاريخ التسجيل : 30/10/2009

مُساهمةموضوع: رد: كل شيء عن فيرس Win32.Sality.ag   الأربعاء مايو 05, 2010 10:08 am


بارك الله فيك
موضوع ممتاز
الاخ
صقر الحاسب

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://albldother.own0.com
صقر الحاسب
مشرف
avatar

عدد المساهمات : 221
تاريخ الميلاد : 01/01/1980
تاريخ التسجيل : 02/05/2010
العمر : 37

مُساهمةموضوع: رد: كل شيء عن فيرس Win32.Sality.ag   الأربعاء مايو 05, 2010 10:11 am

المدير العام كيمو

جزاك الله خيرا على مرورك العطر وردك الطيب مثلك
الرجوع الى أعلى الصفحة اذهب الى الأسفل
amino moh



عدد المساهمات : 1
تاريخ الميلاد : 20/04/1990
تاريخ التسجيل : 10/04/2012
العمر : 27

مُساهمةموضوع: رد: كل شيء عن فيرس Win32.Sality.ag   الثلاثاء أبريل 10, 2012 4:38 am

thanx
الرجوع الى أعلى الصفحة اذهب الى الأسفل
nohahh



عدد المساهمات : 1
تاريخ الميلاد : 29/11/1968
تاريخ التسجيل : 02/05/2012
العمر : 48

مُساهمةموضوع: رد: كل شيء عن فيرس Win32.Sality.ag   الأربعاء مايو 02, 2012 11:14 pm


الرابط لا يعمل
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
كل شيء عن فيرس Win32.Sality.ag
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» كيف تحذف فايروس Net-Worm.Win32.Kido

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتدى البلدوزر :: برامج الكمبيوتر :: برامج الحمايه-
انتقل الى: