W3lc0m3 Fighter.




Mr.Banماهو فيروس sality

Mr.Ban Online
Be Your Self
#1
Wink 
السلام عليكم ورحمة الله وبركاته
اليوم احببت ان اقدم لكم موضوع عن فيروس Sality
من اقوى انواع الفيروسات
انواعه :
و الفيروس له العديد و العديد من الأنواع و منها :-
Win32/Sality.nar وهذه اقوى انواعه
(و يعتبر من أقوى عشر فيروسات في العالم لعام 2008)
وبلنسبالي يزال من اقوى الفيروسات و اكترها انتشار
Code:
Win32/Sality.nar

Code:
Win32/Sality.nau

Code:
Win32/Sality.naq

Code:
Win32/Sality.nao

Code:
Win32/Sality.a

Code:
W32/Sality.e

Code:
W32/Sality.g

Code:
W32/Sality.i

Code:
W32/Sality.j

Code:
W32/Sality.m

Code:
W32/Sality.n

Code:
W32/Sality.tt

Code:
W32/Sality.ah

Code:
Win32.Sality.ag

Code:
W32.Sality.aa

Code:
W32/Sality.am

Code:
W32/Sality.y

Code:
W32/Sality.ae

Code:
W32/Sality.o

ينتقل الفيروس عن طريق الأنترنت و نقل الملفات المصابة و البريد الألكتروني , كما له خواص إنتشار واسعة جداً من خلال الفلاشات الUSB , حيث يصنع من نفسه ملفات Autorun تساعد على الدخول لجهاز الضحية .
و لن أخفي عليكم أن الفيروس آثاره التدميرية كبيرة جداً جداً .!!!!
فالفيروس يقوم بنسخ نفسه بسرعة كبيرة في ملفات ال exe فهو يدمر نظام تشغيلك و برامجك المثبته و الغير مثبتة , كما يدمر الألعاب و أيضاً يدمر أي برنامج أنتي فيروس تضعه على جهازك
كما أنه يبعث بشفرات الريجيستري حتى يضمن عدم الوصول له
تفاصيل عن الفيروس :
هذا البرنامج الضار يصيب ملفات على كمبيوتر الضحية. وهو مصمم لتنزيل وإطلاق برامج خبيثة أخرى على
كمبيوتر الضحية دون علم المستخدم أو موافقته. وهو ملف ويندوز EXE. مبرمج بلغة + +C
كيف يعمل ؟؟:
عند تشغيل الحاسب مباشرة يقوم الفايروس بانشاء ملف في فهرس النظام تحت اسم عشوائي
%System%\drivers\<rnd>.sys
والـ <rnd>يجري سلسلة عشوائية من الأحرف الكبيرة اللاتينية ، مثل "INDSNN"
وهدا الملف هو برنامج تشغيل وضع نواة حجمه 5157 بايت
وقد تم الكشف عنه من قبل Kaspersky Anti-Virus تحت اسم Virus.Win32.Sality.ag
كيف ينتشر :
هدا الفيروس يصيب ملفات ويندوز إكس بي ، ذي الامتدادت التالية
EXE
SCR
وفقط الملفات التي تحتوي على الأقسام التالية تصاب به
****
UPX
CODE
و عند انتشاره ينشأ ملف ملغوم تحت اسم الملف الأصلي الموجود بداخله
ويقوم بانشاء ملف في ريجيستر الملفات المؤقتة تحت اسم
%Temp%\__Rar\.exe
وليضمن البرنامج اشتغال تلقائى يقوم بصنع نسخ عن نفسه على جميع الأقراص
تحت أسماء عشوائية بالامتدادات التالية
exe.
.pif.
cmd.
يتم تشغيلها تلقائيا كلما دخلت الأقراص
وهو أيضا يقوم بزرع ملف مخفي مع الملحقات التي يتم اختيارها عشوائيا
في مجلدات جدار الأقراص تحت اسم :
autorun.inf
وبهدا عند دخول القرص C مثلا يتم تشغيل الفيروس عن طريق الأمر التلقائي الذي
يقوم بتنفيده Autorun.inf
مضمون الفيروس :
يحتوي الفيروس على روابط خبيثة يقوم بالتحميل منها تحديثاته
ويقوم بتنزيل الملفات التالية :
Code:
Backdoor.Win32.Mazben.ah

Code:
Backdoor.Win32.Mazben.ax

Code:
Trojan.Win32.Agent.didu

وقد صممت جميع هذه البرامج الخبيثة لتوزيع البريد المزعج (SPAM)
وبصرف النظر عن عن مايقوم بتحميله ، يمكن للفيروس تعديل مجموعة من المعلومات في نظام التشغيل
بما في ذلك ما يلي :
1-تعطيل إدارة المهام ومنع تحرير تسجيل النظام عن طريق تعديل معلمات التسجيل التالية:
Code:
[HKÑU\Software\Microsoft\Windows\CurrentVersion\P o licies\system]

Code:
"DisableRegistryTools"=dword:00000001

Code:
"DisableTaskMgr"=dword:00000001

2-تعديل الإعدادات من مركز أمن الويندوز عن طريق إنشاء مفتاح التسجيل التالي :
Code:
[HKLM\SOFTWARE\Microsoft\Security Center]

Code:
"AntiVirusOverride"=dword:00000001

Code:
"FirewallOverride"=dword:00000001

Code:
"UacDisableNotify"=dword:00000001

Code:
[HKLM\SOFTWARE\Microsoft\Security Center\Svc]

Code:
"AntiVirusDisableNotify"=dword:00000001

Code:
"AntiVirusOverride"=dword:00000001

Code:
"FirewallDisableNotify"=dword:00000001

Code:
"FirewallOverride"=dword:00000001

Code:
"UacDisableNotify"=dword:00000001

Code:
"UpdatesDisableNotify"=dword:00000001

3-ضمان أن لا يتم عرض الملفات المخفية وذلك بإضافة المعلمة التالية لنظام التسجيل :
Code:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\

Code:
Advanced]

Code:
"Hidden"=dword:00000002

4-يثبت خيارات على المتصفح الافتراضي تطلق دائما في وضع الاتصال ،
ويضيف التسجيل التالي الى الريجيستري :
Code:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]

Code:
"GlobalUserOffline"=dword:00000000

5-تعطيل البرنامج التحكم في حساب المستخدم بواسطة تعيين مفتاح التسجيل "EnableLUA" to “0” :
Code:
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system]

Code:
"EnableLUA"=dword:00000000

6-ويضيف التقرير نفسه إلى جدار الحماية ويندوز كتطبيق يسمح بالوصول إلى الشبكة.
و للقيام بذلك فإنه يحفظ المعلومة التالية في مفتاح التسجيل:
Code:
[HKLM\System\CurrentControlSet\Services\SharedAcces s\

Code:
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]

Code:
"<the path to the virus’s original file>"

Code:
= "<the path to the virus’s original file>:*:Enabled:ipsec

"
حيث إنه ينشئ مفاتيح التسجيل فيه مخازن البيانات التشغيلية
Code:
HKCU\Software\<rnd>

حيث <rnd>-- هو قيمة التعسفي.
7-يبحث عن ملف يدعى WinDir%\system.ini :
ويضيف السجل التالي له
Code:
[MCIDRV_VER]

Code:
DEVICEMB=509102504668 (any arbitrary number

Code:
)

8-يحذف مفاتيح التسجيل التالية ، مما يجعل من المستحيل الدخول بالكمبيوتر المصاب في الوضع الآمن :
Code:
HKLM\System\CurrentControlSet\Control\SafeBoot

Code:
HKCU\System\CurrentControlSet\Control\SafeBoot

9-حذف الملفات تحت امتداد *exe. & .rar* من المجلد للمستخدم الحالي المؤقت :
%Temp%\
كيفية القضاء على الفيروس :
سيتم شرح القضاء على الفايروس بشرح اخر ان شاء الله ..
Reply





Users browsing this thread:
1 Guest(s)



ABOUT Team of the X-fighter

All Right Reserved © Xp10.site