فيروس المنتديات الخبيث

[كونان___أديجاوا]

| السلام عليكم ورحمة الله وبركاته |


بسم الله الرحمن الرحيم

انتشر باتش ( نذل ) في المنتديات
وعند الاصابه به ,, يضع رابط له بنهاية اي مشاركه للعضو اللي جهازه مصاب




تحدث الاصابه بهالنذل ,, عن طريق تشغيل الملف بأسم -game-3.801.zip والذي يأتيك على شكل مرفقات داخل رسالة ..

أو بالضغط على الروابط اللي مليانه فيروسات وباتشات ..

وش سالفة هذا الباتش ..؟

مسميات الباتش من شركات الحمايه
Spam-Mespam ( مكافي )
Trojan-Proxy.Win32.Jaber.a ( كاسبر سكاي )
Mal/Cimuz-A ( سوفس Sophos)
Win32/Difisim.AG ( النورتون )



وعند الاصابه بالباتش ,, على طول يتصل باحد هذه المواقع لتحميل باقي الملفات



لاحد يضغط
http://skilltests.org/zu
http://zup.secondsite1.com/
بعدها يستقبل رسائل ويحفظها على الجهاز بالاسماء التاليه ,, في مجلد النظام windows\system32

pfxzmtaim.dll
pfxzmtforum.dll
pfxzmtgtal.dll
pfxzmticq.dll
pfxzmtsmt.dll
pfxzmtsmtspm.dll
pfxzmtwbmail.dll
pfxzmtymsg.dll
sfxzmtsmt.dll
sfxzmtsmtspm.dll



بعدها يقوم باعادة ارسالها كـ رسائل سبام ( تطفل ) , باستخدام شركات البريد الالكتروني التاليه
webmail.tiscali.co.uk
earthlink.net
comcast.net
webmail.bellsouth.net
fastmail.fm mail.google.com
care2.com mail.com
mail.rambler.ru
hotmail.msn.com
mail.yahoo.com
lycos.com
webmail.aol.com
win.mail.ru

وايضا باعادة ارسالها كـ رسائل سبام ( تطفل ) باستخدم ماسنجر هذه الشركات
GoogleTalk
Yahoo! Messenger
AOL Instant Messenger


وايضا يتصل بهذا الموقع ds.nac.net لتحميل الباتش Downloader-BAI
ويقوم بتحميل هذه الملفات ( rsvp32_2.dll و rsvp32_2.dll435 و rsvp322.dll )
ويقوم بتثبيت احد منها كــ خدمه Layered Service Provider اختصار ( LSP )بحيث يشتغل الباتش عند الاتصال بالنت
باضافة هذا المفتاح لمسجل النظام ,,

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinSock2\Parameters\Protocol_Catalog9\Catalog_E ntries


وايضا يقوم بتحميل الملف sporder.dll وليس مصاب ( نظيف )
ويضع جميع الملفات السابقه في مجلد النظام windows\system32

منقول للأفادة