منتدى البلدوزر
منتدى البلدوزر
منتدى البلدوزر
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.

منتدى البلدوزر


 
الرئيسيةأحدث الصورالتسجيلدخول
المواضيع الأخيرة
» الإصدار النهائى من الريشة السلوفاكية Eset Smart Security
كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالخميس فبراير 23, 2017 12:31 pm من طرف صقر الحاسب

» الاصدار الأخير من الحصان الذهبى الداعم للعربية
كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالخميس فبراير 23, 2017 12:26 pm من طرف صقر الحاسب

» ESET Smart Security Arabic نسخه معربه لاتحتاج الى تعريب !!
كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالأربعاء مارس 26, 2014 9:31 am من طرف samar09

» اقوى ادوات لجعل الويندوز اصلى
كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالأحد مارس 16, 2014 12:14 am من طرف ادعلي

» العفو سلاح الأقوياء
كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالإثنين نوفمبر 19, 2012 6:48 am من طرف صقر الحاسب

» أهل السنة والجماعة .. الخصائص والمعتقدات
كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالإثنين نوفمبر 19, 2012 6:44 am من طرف صقر الحاسب

» اسطوانة التلاوات الخاشعة - رائعة
كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالإثنين نوفمبر 19, 2012 6:38 am من طرف صقر الحاسب

» سورة التحريم بتلاوة ماهر المعقلى
كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالإثنين نوفمبر 19, 2012 6:36 am من طرف صقر الحاسب

» انظروا الى رحمة افضل الخلق
كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالإثنين نوفمبر 19, 2012 6:34 am من طرف صقر الحاسب


 

 كل شيء عن فيرس Win32.Sality.ag

اذهب الى الأسفل 
4 مشترك
كاتب الموضوعرسالة
صقر الحاسب
مشرف
صقر الحاسب


عدد المساهمات : 221
تاريخ الميلاد : 01/01/1980
تاريخ التسجيل : 02/05/2010
العمر : 44

كل شيء عن فيرس Win32.Sality.ag Empty
مُساهمةموضوع: كل شيء عن فيرس Win32.Sality.ag   كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالأربعاء مايو 05, 2010 7:14 am

تفاصيل عن الفيروس :



هذا البرنامج الضار يصيب ملفات على كمبيوتر الضحية. وهو مصمم لتنزيل وإطلاق برامج خبيثة أخرى على
كمبيوتر الضحية دون علم المستخدم أو موافقته. وهو ملف ويندوز EXE. مبرمج بلغة + +C


كيف يشتغل :



عند تشغيل الحاسب مباشرة يقيم الفيروس يقوم بانشاء ملف في فهرس النظام تحت اسم عشوائي


%System%\drivers\.sys
والـ يجري سلسلة عشوائية من الأحرف الكبيرة اللاتينية ، مثل "INDSNN"
وهدا الملف هو برنامج تشغيل وضع نواة حجمه 5157 بايت
وقد تم الكشف عنه من قبل Kaspersky Anti-Virus تحت اسم Virus.Win32.Sality.ag


كيف ينتشر :



هدا الفيروس يصيب ملفات ويندوز إكس بي ، دوي الامتدادت التالية
EXE
SCR

وفقط الملفات التي تحتوي على الأقسام التالية تصاب به
TEXT
UPX
CODE

و عند انتشاره ينشأ ملف ملغوم تحت اسم الملف الأصلي الموجود بداخله
ويقوم بانشاء ملف في ريجيستر الملفات المؤقتة تحت اسم
%Temp%\__Rar\.exe
وليضمن البرنامج اشتغال تلقائى يقوم بصنع نسخ عن نفسه على جميع الأقراص
تحت أسماء عشوائية تحت الامتدادات التالية
exe.
.pif.
cmd.

يتم تشغيلها تشغيلها تلقائيا كلما دخلت الأقراص
وهو أيضا يقوم بزرع ملف مخفي مع الملحقات التي يتم اختيارها عشوائيا
في مجلدات جدر الأقراص تحت اسم :
autorun.inf
وبهدا عند دخول القرص C مثلا يتم تشغيل الفيروس عن طريق الأمر التلقائي الدي
يقوم بتنفيده Autorun.inf


مضمون الفيروس :



يحتوي الفيروس على روابط خبيثة يقوم بالتحميل منها تحديثاته
ويقوم بتنزيل الملفات التالية :
Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu



وقد صممت جميع هذه البرامج الخبيثة لتوزيع البريد المزعج (SPAM)
وبصرف النظر عن عن مايقوم بتحميله ، يمكن للفيروس تعديل مجموعة من المعلومات في نظام التشغيل
بما في ذلك ما يلي :
1-تعطيل إدارة المهام ومنع تحرير تسجيل النظام عن طريق تعديل معلمات التسجيل التالية:


[HKÑU\Software\Microsoft\Windows\CurrentVersion\Po licies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001


2-تعديل الإعدادات من مركز أمن الويندوز عن طريق إنشاء مفتاح التسجيل التالي :

[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001


3-ضمان أن لا يتم عرض الملفات المخفية وذلك بإضافة المعلمة التالية لنظام التسجيل :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
Advanced]
"Hidden"=dword:00000002



4-يثبت خيارات على المتصفح الافتراضي تطلق دائما في وضع الاتصال ،
ويضيف التسجيل التالي الى الريجيستري :



[HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]
"GlobalUserOffline"=dword:00000000



5-تعطيل البرنامج التحكم في حساب المستخدم بواسطة تعيين مفتاح التسجيل "EnableLUA" to “0” :


[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system]
"EnableLUA"=dword:00000000



6-ويضيف التقرير نفسه إلى جدار الحماية ويندوز كتطبيق يسمح بالوصول إلى الشبكة.
و للقيام بذلك فإنه يحفظ المعلمة التالية في مفتاح التسجيل:


[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
""
= ":*:Enabled:ipsec

"

حيث إنه ينشئ مفاتيح التسجيل فيه مخازن البيانات التشغيلية
HKCU\Software\
حيث -- هو قيمة التعسفي.


7-يبحث عن ملف يدعى WinDir%\system.ini :
ويضيف السجل التالي له
[MCIDRV_VER]
DEVICEMB=509102504668 (any arbitrary number
)

8-يحذف مفاتيح التسجيل التالية ، مما يجعل من المستحيل الدخول بالكمبيوتر المصاب في الوضع الآمن :


HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot



9-حذف الملفات تحت امتداد *exe. & .rar* من المجلد للمستخدم الحالي المؤقت :
%Temp%\


كيفية القضاء على الفيروس :



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
Antivirus PLUS
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
Version final
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
من شركة RockstarBoy [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]:


[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]


وبعدها سيقوم بعمل تحديث سريع
وبعد دلك قم بعمل سكان للكمبيوتر ولا تمل أبدا حتى ولو طالت مدة السكان
وسيتم سحق الفيروس نهائيا
مثال أنا استغرقت2ساعة على قرص 200 GB



أرجو الاستفادة للجمع ودمتم في رعاية الله

(منقول للافادة)
الرجوع الى أعلى الصفحة اذهب الى الأسفل
kemo
مدير
kemo


عدد المساهمات : 217
تاريخ التسجيل : 30/10/2009

كل شيء عن فيرس Win32.Sality.ag Empty
مُساهمةموضوع: رد: كل شيء عن فيرس Win32.Sality.ag   كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالأربعاء مايو 05, 2010 10:08 am


بارك الله فيك
موضوع ممتاز
الاخ
صقر الحاسب

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الرجوع الى أعلى الصفحة اذهب الى الأسفل
https://albldother.own0.com
صقر الحاسب
مشرف
صقر الحاسب


عدد المساهمات : 221
تاريخ الميلاد : 01/01/1980
تاريخ التسجيل : 02/05/2010
العمر : 44

كل شيء عن فيرس Win32.Sality.ag Empty
مُساهمةموضوع: رد: كل شيء عن فيرس Win32.Sality.ag   كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالأربعاء مايو 05, 2010 10:11 am

المدير العام كيمو

جزاك الله خيرا على مرورك العطر وردك الطيب مثلك
الرجوع الى أعلى الصفحة اذهب الى الأسفل
amino moh




عدد المساهمات : 1
تاريخ الميلاد : 20/04/1990
تاريخ التسجيل : 10/04/2012
العمر : 34

كل شيء عن فيرس Win32.Sality.ag Empty
مُساهمةموضوع: رد: كل شيء عن فيرس Win32.Sality.ag   كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالثلاثاء أبريل 10, 2012 4:38 am

thanx
الرجوع الى أعلى الصفحة اذهب الى الأسفل
nohahh




عدد المساهمات : 1
تاريخ الميلاد : 29/11/1968
تاريخ التسجيل : 02/05/2012
العمر : 55

كل شيء عن فيرس Win32.Sality.ag Empty
مُساهمةموضوع: رد: كل شيء عن فيرس Win32.Sality.ag   كل شيء عن فيرس Win32.Sality.ag I_icon_minitimeالأربعاء مايو 02, 2012 11:14 pm


الرابط لا يعمل
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
كل شيء عن فيرس Win32.Sality.ag
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» اقضي على فيروس Rootkit.Win32.TDSS
» موضوع مفصل عن فيرس عدم اظهار الملفات المخفية
» موضوع متجدد مفاتيح للنود 4 انتى فيرس وانتى سيكيورتى

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتدى البلدوزر :: برامج الكمبيوتر :: برامج الحمايه-
انتقل الى: