تخلص من الترجونات وسيرفراتها |
هذا
الموضوع كتبه الأخ
أغلب
برامج التجسس الشخصية تتكون عادة من
ملفين الأول هو ما يسمى بالريموت وهذا هو
الملف الذي يتحكم به المخترق في جهازك
وينزل عن طريق هذه الأداة المعلومات التي
يريد من نظامك والملف الثاني هو ما
يسمى بالخادم وله عدة أسماء ثانية مثل
السيرفر أو الباتش وهذا الملف لابد من من
أن تقوم بتشغيله في جهازك لكي يستطيع
المخترق أن يدخل جهازك ولرؤية قائمة بالبرامج التي تعمل على دمج السيرفر أو الفيروس بأي ملف او برنامج اذهب للموقع التالي http://paragon.revoluti0n.org/dlbind.htm
وملف السيرفر يقوم بفتح منفذ لديك بجهازك
ليستقبل عن طريقه الأوامر المرسلة اليه
من المخترق عن طريق أداة الريموت ويرد
عليه بالمعلومات المطلوبة عن طريق نفس
المنفذ والمنفذ الذي يستخدمه السيرفر
يختلف من برنامج أختراق لآخر وبعض
البرامج تقوم بتخييرك لأي منفذ تريد
الأختراق عبره وبمجال معين لكل برنامج |
BackDoor الباك دور |
ويوجد إصدارين من هذا البرنامج |
:للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك والملفات هي |
DATA2.EXE |
:وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك والملفات هي |
WINDOW.EXE |
الباك
اورفيس : برنامج الباك أورفيس يعمل على
الويندوز 95 والويندوز 98 فقط وحجم السيرفر
الخاص به صغير نسبيا - تقريباً 120 كيلوبايت
فقط والمنفذ الذي يستخدمه الباك
اورفيس هو 31337 فقط :والتخلص منه يكون
بالخطوات التالية قم بتشغيل محرر
التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب |
الباك اورفيس 2000 BO2k: |
وهو
يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ،
ولهذا البرنامج نسختين الأولى تسمى
النسخة الأمريكية وهي أكبر حجما من النسخة
الأخرى بالكيلو بايت طبعا. أيضا لهذه
النسخة ميزة أخرى تعرف ب DES encryption |
:الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي |
BO2K |
:طريقة معرفة وجودة في جهازك والتخلص منه |
:يوجد
الآن برنامج واحد لحمايتك من هذا البرنامج
تجده في الموقع التالي |
النت بس NetBus 1.x : ويستخدم خادم داخل جهازك ومتمكن أيضا من |
وندوز
95 و 98 و إن تي ويستطيع عمل كل شي يعمله
برنامج السب سفن إضافة إلى انه يستطيع إن
يتحكم بالفارة التي لديك ويمكنه عرض بعض
الصور على شاشة جهازك أيضا أن يفتح محرك
أقراص الليزر الخاص بك أيضا باستطاعته
سماع كل شي تقوله إذا كنت موصل مايكروفون
مع جهازك وأشياء أخرى عديدة حجم
السيرفر الخاص به هو 470 كيلو بايت ، ويمكن
لصاحبه الدخول اليك من المنفذ 12345 والمنفذ
12346 :طريقة التخلص منه كالتالي قم
بتشغيل محرر التسجيل وذلك بالطريقة
التالية |
السب سيفن Sub7 : برنامج السب سفن هو من أشهر برامج |
الأختراق
وأكثرها قدرة على التحكم في جهاز الضحية
ولهذا فالسيرفر الخاص به خطير جدا ولابد
من التأكد من عدم وجوده بجهازك يقوم
السيرفر الخاص بالسب سفن بوضع الملفات
التالية في مجلد الويندوز الخاص بك |
:وطريقة التخلص منه كالتالي |
قم بالذهاب الى الملفين |
النص
التالي |
The FreeLinl : |
وهو
يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم
لغة VB scripting حتى وندوز 98 و وندوز 2000
ومعظم طرق دخوله إلى جهازك عن طريق البريد
الألكتروني ويكون عنوان المرسل كالتالي
هو Check this :وتكون الرسالة المصاحبة
لهذا العنوان هي |
:فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما |
c:\windows\links.vbs |
:أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز |
HKEY_LOCAL_MACHINE\Software\microsoft\ |
:وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي |
Free XXX links |
:وتحت العنوان تظهر الرسالة التالية |
This will add a shortcut to free XXX links on your desktop Do you want to continue? |
:ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثل الميرك |
MIRC32.exe |
وسوف يقوم بتعديل الملفات التالية : |
SCRIPT.INI |
:وذلك حتى يتمكن من إرسال LINKS.VBS إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين :والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي |
VBS |
:كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه |
أولا
: قم بالبحث عن الملفات التالية |
ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك. |
ثالثا
: قم بحذف الجزء التالي من محرر التسجيل
لديك عن طريق أبدأ ثم تشغيل ثم تكتب في
المربع Regedit وستجد القيمة التالية
فيه فقط قم بمسحها تماما |
Happy99 : |
وهو أيضا يضع خادم له داخل جهازك تحت اسم SKA.EXE وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ ذلك. ثم يقوم بتغير الملف WSOCK32.DLL ويحتفظ بالملف الأصلي تحت اسم WSOCK32.SKA ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه Happy99 وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها |
:الأسماء المستعارة لهذا البرنامج هي |
win32.ska |
:كيفية التخلص منة |
:قم
بالبحث عن الملفات التالية في المجلد
التالي C:\Windows\system |
:إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية |
SKA.EXE |
K2Ps
: |
Paradise : |
وهو أقوى من برنامج Back Orifice |
ويحتاج
أيضا إلى خادم يسمى agent.exe ويستطيع
إلغاء ملفات وإنشائهم ويستطيع فتح وغلق
النوافذ على جهازك ويستطيع عمل محادثة معك
chatting ويستطيع عمل أشياء أخرى. |
وسوف
تجد هذا البرنامج في الموقع التالي : |
PrettyPrk : |
هذا
البرنامج يستطيع الانتشار أيضا عن طريق
البريد الإلكتروني. فعند تنفيذه سوف يقوم
بإرسال نفسه إلى العناوين الموجودة في
windows address book وسوف يخبر المستخدمين
الموجودين على IRC عند إعدادات
النظام وكلمات السر. وسوف يقوم بنسخ نفسه
داخل المجلد التالي C:\Windows\System مع
الملف files32.VXD أيضا سوف يقوم بتسجيل
نفسه داخل القيمة التالية في سجل
الويندوز HKEY_CLASSES_ROOT
\exefile\shell\open\command\files32.vxd
انتشر كثيرا هذا البرنامج بطريقة freeware و shareware وقد انتشر تحت هذا الاسم proml121.zip وهو ملف غير مضغوط داخل هذا الملف promail.exe فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة. |
:كيفية التخلص منة |
إذا كان لديك هذا البرنامج Promail قم مباشرة بإلغائه -------------------------------------------------- Sockets :
وهذا
البرنامج خطير جدا وهو تقريبا فيروس. وهو
لا يقوم فقط بتحميل خادم له ولكنة يصيب
عددا من الملفات المنتهية بالأحرف exe
وله نفس خصائص البرامج الأخرى التي تعمل
معالبريد الألكتروني والأيسكيو
كيفية التخلص منة : باستخدام البرنامج
Anti Troie :وهو برنامج جيد للقضاء علية
وسوف تجده في الموقع التالي
وهو
أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز
إن تي . وهو يستطيع نشر نفسه |
:فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية |
Cannot
open file; it does not appear to be a valid archive. If this is part of a
ZIP backup set, insert the last disk of the backup set and try again.
Please press F1 for help. |
:أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية |
DOC |
:الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي |
worm.explore.zip |
:طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98 |
:قم بالضغط على CTRL ALT DEL :وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي |
Zipped_files |
ويجب أن تفرق بين اسم الملف السابق Explore وبين المتصفح Explorer :فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية |
C:\windows\_setup.exe |
ادعو
لصاحب الموضوع ولاتنسون أخوكم:الموج
تحياتي لكم |