منتدى بلسم الجروح
عزيزي الزائر / عزيزتي الزائرة يرجي التكرم بتسجبل الدخول اذا كنت عضو معنا
او التسجيل ان لم تكن عضو وترغب في الانضمام الي اسرة منتدانا
سنتشرف بتسجيلك

منتدى بلسم الجروح
 
الرئيسيةس .و .جبحـثالأعضاءالمجموعاتالتسجيلدخول

شاطر | 
 

 اشرس فيروس Win32.Sality معلومات عنه وطريقة ازالته

اذهب الى الأسفل 
كاتب الموضوعرسالة
حنين الشوق
المدير العام
المدير العام
avatar

عدد المساهمات : 525
نقاط : 1550
السٌّمعَة : 7
تاريخ التسجيل : 10/12/2010

مُساهمةموضوع: اشرس فيروس Win32.Sality معلومات عنه وطريقة ازالته    الأربعاء 22 ديسمبر 2010, 17:07


بسم الله الرحمن الرحيم
اليوم نتكلم عن اشرس فيروس
مر علي انا شخصياً
فيروس

Win32.Sality.ag



تفاصيل عن الفيروس :



هذا البرنامج الضار يصيب ملفات على كمبيوتر الضحية. وهو مصمم لتنزيل وإطلاق برامج خبيثة أخرى على
كمبيوتر الضحية دون علم المستخدم أو موافقته. وهو ملف ويندوز EXE. مبرمج بلغة + +C


كيف يشتغل :



عند تشغيل الحاسب مباشرة يقيم الفيروس يقوم بانشاء ملف في فهرس النظام تحت اسم عشوائي


%System%\drivers\<rnd>.sys
والـ <rnd>يجري سلسلة عشوائية من الأحرف الكبيرة اللاتينية ، مثل "INDSNN"
وهدا الملف هو برنامج تشغيل وضع نواة حجمه 5157 بايت
وقد تم الكشف عنه من قبل Kaspersky Anti-Virus تحت اسم Virus.Win32.Sality.ag


كيف ينتشر :



هدا الفيروس يصيب ملفات ويندوز إكس بي ، دوي الامتدادت التالية
EXE
SCR
وفقط الملفات التي تحتوي على الأقسام التالية تصاب به
****
UPX
CODE
و عند انتشاره ينشأ ملف ملغوم تحت اسم الملف الأصلي الموجود بداخله
ويقوم بانشاء ملف في ريجيستر الملفات المؤقتة تحت اسم
%Temp%\__Rar\.exe
وليضمن البرنامج اشتغال تلقائى يقوم بصنع نسخ عن نفسه على جميع الأقراص
تحت أسماء عشوائية تحت الامتدادات التالية
exe.
.pif.
cmd.
يتم تشغيلها تشغيلها تلقائيا كلما دخلت الأقراص
وهو أيضا يقوم بزرع ملف مخفي مع الملحقات التي يتم اختيارها عشوائيا
في مجلدات جدر الأقراص تحت اسم :
autorun.inf
وبهدا عند دخول القرص C مثلا يتم تشغيل الفيروس عن طريق الأمر التلقائي الدي
يقوم بتنفيده Autorun.inf


مضمون الفيروس :



يحتوي الفيروس على روابط خبيثة يقوم بالتحميل منها تحديثاته
ويقوم بتنزيل الملفات التالية :
Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu


وقد صممت جميع هذه البرامج الخبيثة لتوزيع البريد المزعج (SPAM)
وبصرف النظر عن عن مايقوم بتحميله ، يمكن للفيروس تعديل مجموعة من المعلومات في نظام التشغيل
بما في ذلك ما يلي :
1-تعطيل إدارة المهام ومنع تحرير تسجيل النظام عن طريق تعديل معلمات التسجيل التالية:


[HKÑU\Software\Microsoft\Windows\CurrentVersion\P o licies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001

2-تعديل الإعدادات من مركز أمن الويندوز عن طريق إنشاء مفتاح التسجيل التالي :
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001


3-ضمان أن لا يتم عرض الملفات المخفية وذلك بإضافة المعلمة التالية لنظام التسجيل :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
Advanced]
"Hidden"=dword:00000002


4-يثبت خيارات على المتصفح الافتراضي تطلق دائما في وضع الاتصال ،
ويضيف التسجيل التالي الى الريجيستري :



[HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]
"GlobalUserOffline"=dword:00000000



5-تعطيل البرنامج التحكم في حساب المستخدم بواسطة تعيين مفتاح التسجيل "EnableLUA" to “0” :


[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system]
"EnableLUA"=dword:00000000


6-ويضيف التقرير نفسه إلى جدار الحماية ويندوز كتطبيق يسمح بالوصول إلى الشبكة.
و للقيام بذلك فإنه يحفظ المعلمة التالية في مفتاح التسجيل:


[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
"<the path to the virus’s original file>"
= "<the path to the virus’s original file>:*:Enabled:ipsec
"
حيث إنه ينشئ مفاتيح التسجيل فيه مخازن البيانات التشغيلية
HKCU\Software\<rnd>
حيث <rnd>-- هو قيمة التعسفي.


7-يبحث عن ملف يدعى WinDir%\system.ini :
ويضيف السجل التالي له
[MCIDRV_VER]
DEVICEMB=509102504668 (any arbitrary number
)
8-يحذف مفاتيح التسجيل التالية ، مما يجعل من المستحيل الدخول بالكمبيوتر المصاب في الوضع الآمن :


HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot


9-حذف الملفات تحت امتداد *exe. & .rar* من المجلد للمستخدم الحالي المؤقت :
%Temp%\


كيفية القضاء على الفيروس :




Antivirus PLUS

Version final

من شركة RockstarBoy :


http://hotfile.com/dl/41325620/e02a4...up_RW.zip.html


وبعدها سيقوم بعمل تحديث سريع
وبعد دلك قم بعمل سكان للكمبيوتر ولا تمل أبدا حتى ولو طالت مدة السكان
وسيتم سحق الفيروس نهائيا
مثال أنا استغرقت2ساعة على قرص 200 GB




شرح طريقو تنصيب البرنامج
والبحث عن الفيروس

















































البرنامج يحتاج الى تسجيل وشراء سريال
ليعمل بشكل كامل





الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://palsam.mountadamajani.com
هنا التقينا



عدد المساهمات : 55
نقاط : 74
السٌّمعَة : 3
تاريخ التسجيل : 25/12/2010

مُساهمةموضوع: رد: اشرس فيروس Win32.Sality معلومات عنه وطريقة ازالته    الأحد 27 مارس 2011, 18:39

اللهم جنب اجهزنتنا كل الفايروسات
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
اشرس فيروس Win32.Sality معلومات عنه وطريقة ازالته
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» كيف تحذف فايروس Net-Worm.Win32.Kido

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتدى بلسم الجروح :: ا قــــــــــــــــســــــــــــــام مــــــــــــوا ضــــــــــــيـــــــــــع ا لــــــــــتــــــــــقــــــــــنــــــــــيــــــــــات :: منتدى الكمبيوتر والأنترنت-
انتقل الى: