صقر الحاسب مشرف
عدد المساهمات : 221 تاريخ الميلاد : 01/01/1980 تاريخ التسجيل : 02/05/2010 العمر : 44
| موضوع: كل شيء عن فيرس Win32.Sality.ag الأربعاء مايو 05, 2010 7:14 am | |
| تفاصيل عن الفيروس : هذا البرنامج الضار يصيب ملفات على كمبيوتر الضحية. وهو مصمم لتنزيل وإطلاق برامج خبيثة أخرى على كمبيوتر الضحية دون علم المستخدم أو موافقته. وهو ملف ويندوز EXE. مبرمج بلغة + +Cكيف يشتغل : عند تشغيل الحاسب مباشرة يقيم الفيروس يقوم بانشاء ملف في فهرس النظام تحت اسم عشوائي %System%\drivers\.sysوالـ يجري سلسلة عشوائية من الأحرف الكبيرة اللاتينية ، مثل "INDSNN"وهدا الملف هو برنامج تشغيل وضع نواة حجمه 5157 بايتوقد تم الكشف عنه من قبل Kaspersky Anti-Virus تحت اسم Virus.Win32.Sality.ag كيف ينتشر : هدا الفيروس يصيب ملفات ويندوز إكس بي ، دوي الامتدادت التاليةEXE SCRوفقط الملفات التي تحتوي على الأقسام التالية تصاب بهTEXT UPX CODEو عند انتشاره ينشأ ملف ملغوم تحت اسم الملف الأصلي الموجود بداخلهويقوم بانشاء ملف في ريجيستر الملفات المؤقتة تحت اسم%Temp%\__Rar\.exeوليضمن البرنامج اشتغال تلقائى يقوم بصنع نسخ عن نفسه على جميع الأقراصتحت أسماء عشوائية تحت الامتدادات التاليةexe. .pif. cmd.يتم تشغيلها تشغيلها تلقائيا كلما دخلت الأقراصوهو أيضا يقوم بزرع ملف مخفي مع الملحقات التي يتم اختيارها عشوائيافي مجلدات جدر الأقراص تحت اسم :autorun.infوبهدا عند دخول القرص C مثلا يتم تشغيل الفيروس عن طريق الأمر التلقائي الدييقوم بتنفيده Autorun.infمضمون الفيروس : يحتوي الفيروس على روابط خبيثة يقوم بالتحميل منها تحديثاتهويقوم بتنزيل الملفات التالية :Backdoor.Win32.Mazben.ah Backdoor.Win32.Mazben.ax Trojan.Win32.Agent.didu وقد صممت جميع هذه البرامج الخبيثة لتوزيع البريد المزعج (SPAM) وبصرف النظر عن عن مايقوم بتحميله ، يمكن للفيروس تعديل مجموعة من المعلومات في نظام التشغيلبما في ذلك ما يلي :1-تعطيل إدارة المهام ومنع تحرير تسجيل النظام عن طريق تعديل معلمات التسجيل التالية: [HKÑU\Software\Microsoft\Windows\CurrentVersion\Po licies\system] "DisableRegistryTools"=dword:00000001 "DisableTaskMgr"=dword:00000001
2-تعديل الإعدادات من مركز أمن الويندوز عن طريق إنشاء مفتاح التسجيل التالي :[HKLM\SOFTWARE\Microsoft\Security Center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "UacDisableNotify"=dword:00000001
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "FirewallOverride"=dword:00000001 "UacDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001 3-ضمان أن لا يتم عرض الملفات المخفية وذلك بإضافة المعلمة التالية لنظام التسجيل :[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ Advanced] "Hidden"=dword:00000002 4-يثبت خيارات على المتصفح الافتراضي تطلق دائما في وضع الاتصال ،ويضيف التسجيل التالي الى الريجيستري : [HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings] "GlobalUserOffline"=dword:00000000
5-تعطيل البرنامج التحكم في حساب المستخدم بواسطة تعيين مفتاح التسجيل "EnableLUA" to “0” : [HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system] "EnableLUA"=dword:00000000 6-ويضيف التقرير نفسه إلى جدار الحماية ويندوز كتطبيق يسمح بالوصول إلى الشبكة.و للقيام بذلك فإنه يحفظ المعلمة التالية في مفتاح التسجيل: [HKLM\System\CurrentControlSet\Services\SharedAcces s\ Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List] "" = ":*:Enabled:ipsec "حيث إنه ينشئ مفاتيح التسجيل فيه مخازن البيانات التشغيليةHKCU\Software\حيث -- هو قيمة التعسفي. 7-يبحث عن ملف يدعى WinDir%\system.ini :ويضيف السجل التالي له[MCIDRV_VER] DEVICEMB=509102504668 (any arbitrary number )8-يحذف مفاتيح التسجيل التالية ، مما يجعل من المستحيل الدخول بالكمبيوتر المصاب في الوضع الآمن : HKLM\System\CurrentControlSet\Control\SafeBoot HKCU\System\CurrentControlSet\Control\SafeBoot 9-حذف الملفات تحت امتداد *exe. & .rar* من المجلد للمستخدم الحالي المؤقت :%Temp%\كيفية القضاء على الفيروس : [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]Antivirus PLUS[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة] Version final[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]من شركة RockstarBoy [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] وبعدها سيقوم بعمل تحديث سريعوبعد دلك قم بعمل سكان للكمبيوتر ولا تمل أبدا حتى ولو طالت مدة السكانوسيتم سحق الفيروس نهائيامثال أنا استغرقت2ساعة على قرص 200 GB أرجو الاستفادة للجمع ودمتم في رعاية الله (منقول للافادة)
| |
|
kemo مدير
عدد المساهمات : 217 تاريخ التسجيل : 30/10/2009
| موضوع: رد: كل شيء عن فيرس Win32.Sality.ag الأربعاء مايو 05, 2010 10:08 am | |
| | |
|
صقر الحاسب مشرف
عدد المساهمات : 221 تاريخ الميلاد : 01/01/1980 تاريخ التسجيل : 02/05/2010 العمر : 44
| موضوع: رد: كل شيء عن فيرس Win32.Sality.ag الأربعاء مايو 05, 2010 10:11 am | |
| المدير العام كيمو
جزاك الله خيرا على مرورك العطر وردك الطيب مثلك | |
|
amino moh
عدد المساهمات : 1 تاريخ الميلاد : 20/04/1990 تاريخ التسجيل : 10/04/2012 العمر : 34
| موضوع: رد: كل شيء عن فيرس Win32.Sality.ag الثلاثاء أبريل 10, 2012 4:38 am | |
| | |
|
nohahh
عدد المساهمات : 1 تاريخ الميلاد : 29/11/1968 تاريخ التسجيل : 02/05/2012 العمر : 55
| موضوع: رد: كل شيء عن فيرس Win32.Sality.ag الأربعاء مايو 02, 2012 11:14 pm | |
| | |
|