|
|
برنامج
Sub Seven
أخطر
برامج
الاختراق
يطلق عليه
البعض اسم
القنبلة
تتركز خطورته
في أنه يتميز
بمخادعة
الشخص
الذي
يحاول إزالته
فهو يعيد
تركيب نفسه
تلقائيا بعد
حذفه يعتبر
أقوى برنامج
اختراق
للأجهزة
الشخصية
.. وفي إصدارته
الأخيرة
يمكنه أن
يخترق سيرفر
لقنوات
المحادثة
Mirc
كما
يمكنه اخترق
أي جهاز
أي
شخص بمجرد
معرفة أسمه في
ICQ
كما
يمكنه اختراق
مزودات
البريد
smtp/pop3
يعتبر
الاختراق
به
صعب نسبيا
وذلك لعدم
انتشار ملف
التجسس الخاص
به
في
أجهزة
المستخدمين
إلا أنه قائما
حاليا
على
الانتشار
بصورة مذهلة
ويتوقع أنه
بحلول منتصف
عام2001
سوف
تكون نسبة
الأجهزة
المصابة بملف
السيرفر
الخاص به 40-55 % من
مستخدمي
الإنترنت حول
العالم وهذه
نسبة مخيفة
جدا إذا
تحققت
فعلا ...
مميزاته
خطيرة للغاية
فهو يمكن
المخترق
من السيطرة
الكاملة على
الجهاز وكأنه
جالس
على الجهاز
الخاص به حيث
يحتوي على
أوامر كثيرة
تمكنه من
السيطرة عليه
... بل يستطيع
أحيانا
الحصول على
أشياء لا
يستطيع
مستخدم
الجهاز
نفسه
الحصول عليها
مثل كلمات
المرور ..
فالمخترق
من هذا
البرنامج
يستطيع
الحصول على
جميع كلمات
المرور التي
يستخدمها
صاحب الجهاز
!!!
ولخطورته
الكبيرة فسوف
نفصل في الشرح
عنه
Win 95 – Win 98 نظام التشغيل
منافذ البرنامج 6711 6776 1243 1999 الاصدار الاخير منه له خمس خانات مثال 12345
التعديلات
التي يحدثها
هذا
البرنامج
في جهاز
الضحية :
|
ينشئ
القيم
التالية :
HKEY_LOCAL_MACHINE\Software\CLASSES\.dl
HKEY_LOCAL_MACHINE\Software\Microsot\DirectXMedia
KERNEL16="KERNEL16.dl
HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile |
ملف
التسجيل
|
|
|
35
كيلو
بايت |
rundll16.exe
أو
KERNEL.dll |
مجلد
النظام
|
|
35
كيلو
بايت |
MOVOKH_32.dll
|
|
|
35
كيلو
بايت |
nodll.exe |
|
|
35
كيلو
بايت |
watching.dll |
|
|
يقوم
بإضافة
إسمه
server.com or .exe
بعد
عبارة
shell=Explorer.exe |
ملف
System.ini |
|
|
تجده
في الاسطر
الاولى
ويكون
كالتالى
load=server.exe
أو
run=server.exe
load=server.com
او
run=server.com |
ملف
win.ini
|
|
أعـراض
الإصابة :
من
أهم أعراض
الإصابة بهذا
البرنامج
ظهور
رسالة
" قام
هذا البرنامج
بأداء عملية
غير شرعية
... " وتظهر هذه
الرسالة عند
ترك
الكمبيوتر
بدون تحريك
الماوس أو
النقر على
لىحة
المفاتيح حيث
يقوم
البرنامج
بعمل
تغييرات
في حافظة
الشاشة وتظهر
هذه الرسائل
عادة عندما
تقوم بإزالة
إدخالات
البرنامج
في ملف
system.ini
كما
أن بإمكان
الخادم إعادة
إنشاء نفسه
بعد حذفه من
الويندوز
باستخدام بعض
الملفات
المساعدة له
في ذلك
خطورة
البرنامج :
يمكن
عمل تعديلات
على الخادم
الخاص
بالبرنامج
من خلال
برنامج
التحرير
الخاص به لذلك
فإنه من
الواجب البحث
في أي مكان
ممكن
أن يسجل فيه
ليعمل
تلقائيا يعني
أي مكان يمكن
وضع أوامر
للويندوز
ليقوم
بتشغيله
تلقائيا .
التخلص
منه
:
1-
افتح
الملف
win.ini
الموجود
في مجلد
الويندوز
وابحث في
بداية السطور
الأولى من هذا
الملف عن أي
قيم شبيهة
بالقيم
التـالية
:
run=xxxx.exe
أو
run = xxxx.dll أو
Load=xxxx.exe أو
Load = xxxx.dll
لاحظ
أن
xxxx
تعني
اسم الخادم
وإذا عثرت
على
أي قيمة منها
فقم بحذفها
2-
افتح الملف
system.ini
الموجود
في مجلد
الويندوز
وفي السطر
الخامس
تقريباً ستجد
السطر التالي :
shell
= Explorer.exe ...
فإذا
كان جهازك
مصابا
ستجد السطر
على هذا الشكل
:
shell=Explorer.exe xxxx.exe
....
أو
shell = Explorer.exe xxxx.dll
مع
العلم بأن
xxxx
هو
إسم الخادم
الذي من
أشهر
أسمائه
rundll16.exe
و
Task_Bar.exe
و
server.com
او
server.exe
فإذا
كان كذلك فقم
بمسح إسم
الخادم فقط
ليصبح
السطر
:
shell = Explorer.exe
2-
إضغط
على
start
ثم
تشغيل ثم إكتب
regedit
لتدخل
الى
ملف
السجل ثم قم
بالدخول
تسلسليا على
الأتي
:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
داخل
المجلد
Run
إبحث
عن إسم الخادم
الذي
عثرت
عليه في مــلف
system.ini
أو
الملف
win.ini
(
في
بعض الأحيان
قد يتغير إسم
الخادم في ملف
التسجيل
لذلك إبحث عن
أي شي غريب ) ثم
بعد ذلك توجه
لمجلد
الويندوز
وستجد أن حجم
الخادم الذي
عثرت
عليه في ملف
التسجيل
حوالي 328 كيلو
بايت إذا كان
كذلك عد لنفس
المنطقة في
ملف التسجيل
وقم
بحذف القيمة
وذلك بالنقر
على إسمها
وإختيار حذف
delete
الآن
أعد تشغيل
الجهاز ثم
توجه
لمجلد
الويندوز وقم
بحذف الخادم
بالنقر عليه
بالزر الأيمن
للماوس
وإختيار حذف
