|
برنامج
Sub Seven
أخطر برامج
الإختراق يسمى في منطقة الخليج (
الباكدور جي ) ويطلق عليه البعض إسم
القنبلة
تتركز خطورته
في أنه يتميز بمخادعة الشخص الذي يحاول
إزالته فهو يعيد تركيب نفسه تلقائيا بعد
حذفه
يعتبر أقوى
برنامج إختراق للأجهزة الشخصية .. وفي
إصدارته الأخيرة يمكنه أن يخترق سيرفر
لقنوات
المحادثة Mirc
كما يمكنه إخترق أي جهاز أي شخص بمجرد
معرفة إسمه في ICQ كما يمكنه إختراق
مزودات
البريد smtp/pop3 يعتبر الإختراق به صعب
نسبيا وذلك لعدم إنتشار ملف التجسس
الخاص به
في أجهزة
المستخدمين الا أنه قائما حاليا على
الإنتشار بصورة مذهلة ويتوقع أنه بحلول
منتصف عام
2001 سوف تكون
نسبة الأجهزة المصابة بملف السيرفر
الخاص به 40-55 % من مستخدمي الإنترنت
حول العالم
وهذه نسبة مخيفة جدا إذا تحققت فعلا ...
مميزاته خطيرة للغاية فهو يمكن المخترق
من السيطرة
الكاملة على الجهاز وكأنه جالس على
الجهاز الخاص به حيث يحتوي على أوامر
كثيرة
تمكنه من
السيطرة عليه ... بل يستطيع أحيانا
الحصول على أشياء لا يستطيع مستخدم
الجهاز
نفسه الحصول
عليها مثل كلمات المرور .. فالمخترق من
هذا البرنامج يستطيع الحصول على جميع
كلمات المرور
التي يستخدمها صاحب الجهاز !!! ولخطورته
الكبيرة فسوف نفصل في الشرح عنه
خصائص
البرنامج
|
نظام
التشغيـل
|
win 95 - win
98
|
|
المنافذ
التي يستخدمها
|
6711
6776
1243
1999
ويستطيع
المستخدم أحيانا إستخدام منفذ بين
المنفذين الأخيرين
|
التعديلات
التي يحدثها هذا البرنامج في جهاز
الضحية :
|
ملف
التسجيل
|
ينشئ
القيم التالية :
HKEY_LOCAL_MACHINE\Software\CLASSES\.dl
HKEY_LOCAL_MACHINE\Software\Microsot\DirectXMedia
KERNEL16="KERNEL16.dl
HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile
|
|
مجلد
النظام
|
rundll16.exe أو KERNEL.dll
|
35 كيلو
بايت
|
|
MOVOKH_32.dll
|
35 كيلو
بايت
|
|
nodll.exe
|
35
كيلوبايت
|
|
watching.dll
|
35
كيلوبايت
|
|
ملف
System.ini
|
في
السطر الخامس يقوم بإضافة إسمه
بعد عبارة explorer.exe
ليصبح
السطر بعد التغيير :shell=Explorer.exe
urndll16.exe
|
|
ملف
win.ini
|
في
الأسطر الأولى تحديدا في القيم
التي توضع أمامها البرامج
المراد
تشغيلها أثناء تشغيل الويندوز مثل
:
run=###.exe
أو Load=###.exe
|
أعـراض
الإصابة :
من أهم أعراض
الإصابة بهذا البرنامج ظهور رسالة "
قام هذا البرنامج بأداء عملية غير شرعية
... " وتظهر هذه الرسالة عند ترك
الكمبيوتر بدون تحريك الماوس أو النقر
على لىحة المفاتيح حيث يقوم البرنامج
بعمل تغييرات في حافظة الشاشة وتظهر هذه
الرسائل عادة عندما تقوم بإزالة
إدخالات البرنامج في ملف system.ini كما أن
بإمكان الخادم إعادة إنشاء نفسه بعد
حذفه من الويندوز بإستخدام بعض الملفات
المساعدة له في ذلك
خطورة
البرنامج :
يمكن عمل
تعديلات على الخادم الخاص بالبرنامج من
خلال برنامج التحرير الخاص به لذلك فإنه
من الواجب البحث في أي مكان ممكن أن يسجل
فيه ليعمل تلقائيا يعني أي مكان يمكن
وضع أوامر للويندوز ليقوم بتشغيله
تلقائيا .
التخلص
منه :
1- إفتح الملف
win.ini الموجود في مجلد الويندوز وابحث في
بداية السطور الأولى من هذاالملف عن أي
قيك شبيهة بالقيم التـالية :
run=xxxx.exe
أو run = xxxx.dll أو Load=xxxx.exe أو Load = xxxx.dll
لاحظ أن xxxx
تعني إسم الخادم وإذا عثرت على أي قيمة
منها فقم بحذفها
2- افتح الملف
system.ini الموجود في مجلد الويندوز وفي
السطر الخامس ستجد السطر التالي :
shell = Explorer.exe ...
فإذا كان جهازك مصابا ستجد السطر على
هذا الشكل :
shell=Explorer.exe
xxxx.exe .... أو shell = Explorer.exe xxxx.dll
مع العلم بأن
xxxx هو إسم الخادم الذي من أشهر أسمائه
rundll16.exe و Task_Bar.exe فإذا كان كذلك فقم بمسح
إسم الخادم فقط ليصبح السطر : shell =
Explorer.exe
3- إضغط على start
ثم تشغيل ثم إكتب regedit لتدخل الى
ملف السجل ثم
قم بالدخول تسلسليا على الأتي :
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Current Version
داخل المجلد
Run إبحث عن إسم الخادم الذي عثرت عليه في
مــلف system.ini أو الملف win.ini ( في
بعض الأحيان
قد يتغير إسم الخادم في ملف التسجيل
لذلك إبحث عن أي شي غريب ) ثم بعد ذلك
توجه
لمجلد
الويندوز وستجد أن حجم الخادم الذي عثرت
عليه في ملف التسجيل حوالي 328 كيلو بايت
إذا
كان كذلك عد
لنفس المنطقة في ملف التسجيل وقم بحذف
القيمة وذلك بالنقر على إسمها وإختيار
حذف delete الآن
أعد تشغيل الجهاز ثم توجه لمجلد
الويندوز وقم بحذف الخادم بالنقر عليه
بالزر الأيمن
للفارة
وإختيار الغاء
|
