بسم الله الرحمن الرحيم
كيف حال أعضاء منتديات مسومس الكرام
من زمان ماكتبت موضوع ^_^
سنتحدث اليوم عن أخطر فايروس عرفته حتى الآن
W32.Mabezat.B ألا وهو من نوع :
أسماء ملفات الفايروس الرئيسية :
hook.dl_
tazebama.dl_
tazebama.dll
وتتواجد هذه الملفات الرئيسية على المسار التالي :
%SystemDrive%\Documents and Settings
يضع هذا الفايروس ملفين بإسم:
zPharaoh.exe
autorun.inf
داخل جميع الاقراص بحيث عند الدخول لأي قرص بالطرق الإفتراضية يتفعل الفايروس تلقائيا
ويضع هذه الملفات أيضا داخل المسار التالي :
%UserProfile%\Local Settings\Application Data\Microsoft\CD Burning
بحيث عند نسخ أي سي دي يتم نسخ هذا الفايروس بداخله
ويضع ملف بإسم :
zPharaoh.exe
داخل المسار التالي:
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
لكي يتسنى له العمل مع بدء التشغيل للنظام
وأيضا يبحث عن ملفات الوورد وينشئ ملف فايروس بنفس الإسم وصيغة الوورد وأيقونة الوورد لكن صيغة الملف تكون exe
ويقوم بحذف حوالي خمسين من أشهر البرامج الضرورية لأي جهاز مثل الفوتوشوب وبرامج الميديا وغيرها
ويندمج بتطبيقات الـexe التي في الجهاز بحيث عند تشغيله يعمل الفايروس معها وهذا من رأيي أكبر مشكلة يسببها هذا الفايروس ولا يمكن حل هذه المشكلة إلا بفحص الملف بمكافح فيروسات شهير مثل الكاسبرسكاي
طبعا إذا كنت مستخدم متقدم وخبير يمكنك إزالة هذه المشكلة يدويا بتحرير Hex البرنامج بأحد برامج تحرير التطبيقات الست عشرية وإزالة هكس الفايروس من على التطبيقات المضروبة بهذا الفايروس مثل برنامج Hex Editor
ويقوم الفيروس بنشر هذه الملفات بعشوائية داخل جميع الأقراص :
· windows.rar
· office_crack.rar
· serials.rar
· passwords.rar
· windows_secrets.rar
· source.rar
· imp_data.rar
· documents_backup.rar
· backup.rar
· MyDocuments.rar
· HpphmfUppmcbsOpujgjfs/fyf
· GoogleToolbarNotifier.exe
· PanasonicDVD_DigitalCam.exe
· Antenna2Net.exe
· RadioTV.exe
· Microsoft MSN.exe
· Sony Erikson DigitalCam.exe
· IDE Conector P2P.exe
· Windows Keys Secrets.exe
· FaxSend.exe
· RecycleBinProtect.exe
· Disk Defragmenter.exe
· CD Burner.exe
· ShowDesktop.exe
· BrowseAllUsers.exe
· LockWindowsPartition.exe
· Win99compatibleXP.exe
· MakeUrOwnFamilyTree.exe
· WindowsXp StartMenu Settings.exe
· Recycle Bin.exe
· Adjust Time.exe
· Microsoft Windows Network.exe
· HP_LaserJetAllInOneConfig.exe
· FloppyDiskPartion.exe
· msjavx86.exe
· Office2003 CD-Key.doc.exe
· AmericanOnLine.exe
· Crack_GoogleEarthPro.exe
· Lock Folder.exe
· InstallMSN11En.exe
· InstallMSN11Ar.exe
· JetAudio dump.exe
· KasperSky6.0 Key.doc.exe
· Office2007 Serial.txt.exe
· Office2007 CD-Key.doc.exe
· Make Windows Original.exe
· NokiaN73Tools.exe
· WinrRarSerialInstall.exe
يعني يسوي ملفات وينرار وملفات تطبيقية بأسماء مختلفة وأيقونات مختلفة لتلائم إسم الملف ليخدع المستخدم بتشغيلها
فتجد فايروس أيقونته حق موبايل وآخر على شكل الكرة الأرضية وأخر بشكل تفعيل النظام وآخر بشكل
ملف وورد والكثير الكثير من الأيقونات التي يستخدمها ليخدع المستخدم
وينشر أيضا ملف تطبيق للفايروس داخل إسم كل مجلد كالتالي :
*.doc ______________________________________.exe
*_ .exe
*___________________________________ .exe
حيث الرمز * هو إسم أي مجلد يأخذ أسمه الفايروس ويضعه في التطبيقين ويحط مسافات كثيرة في إسم الملف وقبل الصيغة الرئيسية للفايروس وهي EXE
وحيث الرمز _ هو المسافات التي يكونها الفيروس في إسم الملف
وأيضا عند وجود ملف وورد كما قلت سابقا فإن الفايروس يحط ملف بنفس إسمه مع أيقونة الوورد ويحط مسافات كثيرة قبل صيغة الفيروس
مثال :
*.doc _____________________.exe
حيث رمز * هو إسم ملف الوورد الأصلي ورمز _ هو المسافة فبعض الملفات يحط لها أكثر من 10 مسافات وبعضها يحط لها مسافة واحدة ويمكنكم ملاحظة ذلك في هذه الصورة
إضافة إلى أنه يقوم بتعطيل خيارات المجلد وتعطيل محرر التسجيل و تعطيل إظهار ملفات نظام التشغيل المحمية والملفات المخفية
ومن الجدير بالذكر أن هذا الفيروس حجمه 151 كيلوبايت - فقط - ويقوم بكل الأعمال التخريبية السابقة
كان معكم أخوكم Wahdain من فضاء الفيروسات ^_________^
والسلام عليكم ورحمة الله وبركاته
المفضلات