شرح لأخطر برامج الإختراق المستخدمه

السلام عليكم

اخواني واخواتي اليوم بعض الشروحات عن البرامج المستخدمة في عملية الاختراق

ننتقل اليوم للحديث عن أهم وأشهر برامج الاختراق المتداولة مرتبة حسب
خطورتها، وسأكتفي بشرح الثلاثة الأولى منها، على ثلاث مقالات أسبوعية وذلك
نظراً لشهرتها وتداولها بين المخترقين : Net Bus - Back Orifice - Sub
Seven - Hack a Tack - Master Paradise Deep Throat - Girl Friend 8- Net
Sphere 9- Win Crash 01- Big Cluck - Executer - ICQ Torjan - Back Door.

البرنامج نت بص Net Bus
تمكن مبرمج سويدي اسمه كارل نيكتر في عام 1998 من إصدار نسخة تجريبية تعمل
على الوندوز 95 من برنامج لم يطلق عليه اسما في ذلك الوقت · يستطيع مستخدم
البرنامج تشغيله بواسطة كمبيوتر بعيد · هذا البرنامج سماه اتوبيس الشبكة
صدرت بعد ذلك نسخ عديدة منه، اذكر منها النسخة 1,6 و 1,7 Net Bus Pro
وأخيرا Bus 0002 Net .

إمكانياته

- يسمح البرنامج لأي شخص بالسيطرة على جهاز الضحية عن بعد على الشكل التالي:

1- عرض صورة مفاجئة على شاشة الضحية، أو تغيير إعدادات الشاشة دون تدخل من المستخدم
2- فتح و غلق باب سواقة السي دي تلقائيا، دون تدخل من المستخدم·
3- وضع مؤشر الماوس في مكان معين بحيث لا يمكن للمستخدم تحريكه عن هذه المنطقة ·
4 ظهور حركة للماوس دون أي تدخل من صاحب الجهاز ·
5- عرض رسالة قصيرة على الشاشة تختفي وتظهر فجأة او تبقى معلقة دائما بالشاشة فلا يستطيع المستخدم التخلص منها·
6-التجسس على المستخدم ورؤية كل ما يفعله ·
7- عـــــــرض محتويات القرص الصلب بالكامل عن بعد ·
8- إنزال أي ملف من جهاز الضحية إلى جهاز المخترق ·
9- تحميل أي ملف من جهاز المخترق إلى جهاز الضحية ·
10- التحكم في علو وانخفاض الصوت·
11- في حالة ارتباط مايكروفون بجهاز الضحية فيمكن للمخترق الاستماع لما يدور من حديث بالغرفة المتواجد بها جهاز الضحية·
12- حذف أي ملف من القرص الصلب وقت ما يشاء المخترق ·
13- إقفال أي نافذة من النوافذ المفتوحة بشاشة الضحية
14- تغيير او حذف كلمات السر الخاصة بالضحية واستبدالها بكلمات أخرى
15- تغيير إعدادات النظام بالجهاز الخاص بالضحية·

كل هذة الوظائف السابقة يمكن لأي مخترق لديه هذا البرنامج، كما هو الحال
في معظم برامج الاختراق، أن ينفذها، أو بمعنى أوضح السيطرة الكاملة على
جهاز الضحية ·

- بعد كل ما ذكرته، سوف يصاب أي شخص يتعرض جهازه للاختراق، بنوع من الخوف
والرعب الشديد ولكن الموضوع فى منتهى البساطة، فلا تستعجلوا القرار
بقيامكم بعمل فورمات للهارد ديسك لان العلم لم يكتف بذلك، فالمعروف أن كل
فعل له رد فعل، بمعنى أنه عندما يوضع ملف التجسس في الجهاز فانه يوضع فى
مكان معين وتوجد طرق عديدة للتخلص من هذه البرامج المؤذية، لذلك حافظ على
هدوئك تماما، وابحث معي عن حلول للمشكلة، فى كل الأماكن التالية:

إن المخترق لكي يتمكن من الاختراق عليه الدخول من أحد المنافذ Ports
والبرامج المضادة للمخترقين كفيلة بإغلاق تلك المنافذ في وجه المخترق؛
ولكن، حتى نقطع الطريق على المخترق، إليكم طريقة ممتازة لاكتشاف المنافذ
المفتوحة وإغلاقها بطريقة يدوية من خلال الوندوز ويجب تنفيذ هذا الإجراء
أثناء الاتصال بالإنترنت online حتى نتمكن من رؤية جميع المنافذ المتصلة
بطريقة غير شرعية أثناء الاتصال بالإنترنت·

1- من قائمة إبدأ اختر التشغيل Start/Run
2 -عند ظهور مربع الحوار الخاص بتنفيذ الأوامر اكتب Command
3 -سيظهر لك اطار نظام التشغيل دوس وفي داخل الإطار وأمام خانة المؤشر اكتب netstat - a: ثم اضغط على Enter
4 - والآن قارن بين ارقام المنافذ التي ظهرت لك مع أرقام المنافذ التالية،
وهي المنافذ التي يفتحها في العادة ملف التجسس الباتش التابع لبرنامج Net
Bus فإن وجدت رقم المنفذ ضمنها، فإن جهازك قد اخترق، وعليك في هذه الحالة
التخلص أولا من ملف التجسس ·

وهذه منافذ دخول برنامج النت باص :
- 43002 - 5401 - 0954 - 1176 - 0037- 1037 - 6037 - 3037 - 8037 - 92003 - 00103 - 10103 - 20103 - 73313 - 83313 - 93313

التخلص من برنامج الباتش الخاص بالنت باص واغلاق منافذه المفتوحة:

الرابط الرئيسي بين كمبيوتر المخترق وكمبيوتر الضحية هو ملف التجسس
المزروع بجهاز الضحية واذا تم تحديده والتخلص منه، قطعت عليه طريق التجسس·
أما المنافذ التي فتحت فهي جزء من الذاكرة يتعرف عليها الجهاز بأنها منطقة
اتصال ومتى ما تم حذف ملف التجسس (الباتش) فان الوندوز يعيد إغلاق تلك
المنافذ أتوماتيكيا عقب إعادة تشغيل الجهاز لأن مصدرها ( ملف الباتش) وملف
الباتش قد قضي عليه تماما·

في الأسبوع المقبل موعدنا مع البقرة الميتة··أقصد برنامج التجسس البقرة
الميتة وطرق مكافحته - فى العدد القادم سوف نتناول شرح لبرنامج Black
Orifice أو البقرة الميتة وطرق مكافحته ومنافذ

أشهر برامج الأختراق وكيفية عمل كل منها :
كثيرة هي برامج الأختراق ومتعدده ولكن هناك نظرية سائدة تشمل الجانب
النفسي للمخترقين وهي البساطة في التعامل مع برنامج الأختراق والحصول على
ما خف وزنه وغلاء ثمنه من جهاز الضحيه Easy to Go ، وبمعنى أخر فأن
المخترق لايرغب في برنامج معقد يأخذ كثيرا من الوقت في تعلمه وكذلك لايرغب
بعد تعلم البرنامج واتقانه الدخول الي جهاز خاوي لاسمن فيه ولاعسل . لهذا
السبب نجد بأن هناك ثلاثة برامج شهيرة ومعروفة يستخدمها المخترقون في كل
أرجاء المعمورة لبساطة تعلمها وسهولة إتقانها وفي نفس الوقت خطورة ما تقوم
به . هذة البرامج الثلاث سأشرحها بالتفصيل مركزا على ثلاثة عوامل فيهم (1)
إمكانات كل برنامج (2) كيفية إكتشافة في الأجهزة (3) كيفية التخلص منه
وجعل المخترق يجري خلف سراب .

برامج الأختراق المتداولة:

هذة قائمة بأشهر البرامج المتداولة مرتبة حسب خطورتها ، وسأكتفي بشرح
الثلاثة الأولى منها لشهرتها وتداولها بين المخترقين في ارجاء المعمورة
قاطبة:

1- Net Bus

2- Back Orifice

3- Sub Seven

4- Hack a Tack

5- Master Paradise

6- Deep Throat

7- Girl Friend

8- Net Sphere

9- Win Crash

10- Big Cluck

11- Executer
سأقوم أولاً بشرح برنامج الnet bus
برنامج الـ Net Bus : تمكن مبرمج سويدي إسمه كارل نيكتر في عام 1998 من
إصدار نسخة تجريبيه تعمل على الويندوز 95 من برنامج لم يطلق عليه اسما
وقتها . ذلك البرنامج يمكن مستخدمه من تشغيله بواسطة كمبيوتر بعيد (ريموت)
سماه اتوبيس الشبكة Net Bus صدرت بعد ذلك نسخ عديده منه اذكر منها نسخة
1.6 و 1.7 و Net Bus Pro وأخيرا Net Bus 2000 .

إمكانات برنامج Net Bus : يسمح البرنامج لأي شخص بالسيطرة على جهاز الضحية عن بعد (ريموت) بالشكل التالي:

1- عرض صورة مفاجئة على شاشة الضحية او تغيير اعدادات الشاشة دون تدخل من المستخدم

2- استبدال مفاتيح الماوس الأيمن والايسر

3- تشغيل برنامج معين بصورة مفاجئة

4- فتح و غلق باب سواقة الـ CD تلقائيا دون تدخل من المستخدم

5- عزف اي ملف صوتي فجأه

6- وضع مؤشر الماوس في نطاق معين من الشاشة لا يستطيع المستخدم ان يتعداه

7- تحريك مؤشر الماوس دون ان يفعل ذلك المستخدم الاصلي

8- عرض رسالة قصيرة على الشاشة تختفي فجأة او تبقى معلقة دائما بالشاشة لايستطيع المستخدم التخلص منها.

9- قفل واعادة تشغيل الجهاز Rebooting بطريقة مفاجئة

10- الذهاب الي موقع معين على الويب

11- التجسس على المستخدم ورؤية اية كلمات يكتبها

12- التقاط صور لسطح المكتب عن بعد

13- ارسال معلومات لكومبيوتر المخترق عبر بريمج الباتش المزروع بجهاز الضحية

14- عرض محتويات القرص الصلب بالكامل عن بعد

15- انزال downloading اي ملف من جهاز الضحية لجهاز المخترق

16- تحميل upload اي ملف من جهاز المخترق لجهاز الضحيه

17- التحكم في علو وانخفاض الصوت

18- في حالة ارتباط مايكروفون بجهاز الضحية فيمكن للمخترق الأستماع لما يدور من حديث بالغرفة المتواجد بها جهاز الضحية

19- حذف اي ملف من القرص الصلب عن بعد

20- الغاء disable عمل مفاتيح معينه من لوحة المفاتيح

21- اقفال اي نافذة من النوافذ المفتوحة بشاشة الضحية

22- فتح نوافذ معينه بطريقة مفاجئة

23- اضافة كلمة سر لجهاز الضحية تمنعه من الدخول لجهازه

24- تغيير او حذف كلمات السر الخاصة بالضحية واستبدالها بكلمات اخرى

25- تغيير اعدادات النظام بالجهاز الخاص بالضحيه
كل هذة الوظائف السابقة يمكن لأي مخترق لديه هذا البرنامج او اي برنامج
للأختراقات مع اختلاف قدراتها أن يستخدمها على كمبيوتر الضحية المزروع به
الملف الخادم (ملف الباتش).
قد يسبب ما ذكرت اعلاه شئ من الخوف او الوسوسة لمن ظهر في جهازه احد او
بعض الأعراض المذكوره ولكني انصحه ان لا يستعجل الأمور وقبل اتخاذه لأي
قرار عليه اولا الكشف على جهازه والبحث عن اي ملف تجسسي مزروع (كما قرأتم
في المشاركات السابقة )
2ً-برنامج Black Orifice : الفجوة السوداء ثاني اشهر برنامج للأختراق
وأقدمها يعطي سيطرة كاملة للمخترق وابرز اصدارته السابقة يحمل النسخة رقم
1.2 وقد أصدرت الجمعية التي تصدرة وأسمها "جمعية البقرة الميته" Cult of
Death Cow اعلانا بأطلاق اصدارة جديدة منه في نهاية الصيف السابق سمته
Black Orifice 2000 . يقوم البرانامج كما ذكرنا بأعطاء سيطرة كاملة
للمخترق وتظهر بجهاز الضحية نفس الأعراض التي ذكرتها سابقا .

البحث عن منافذ دخول هذا البرنامج :

قم بأجراء البحث عن المنافذ التي عادة يدخل منها برنامج الـفجوة السوداء
وقارنها بالمنافذ في القائمة ادناه فإن وجدتها من ضمن هذه القائمة فأن
جهازك يكون قد اخترق عن طريق هذا البرنامج:

31338

31337

31666

54320

54321

أكتشاف ملف التجسس الخاص بهذا البرنامج :
بعد الدخول لملف تسجيل الويندوز توقف عند Current Version . الأن أنقر على
المجلد RunServices وابحث عن اي ملف غريب بجهازك له امتداد exe ( أنت اعرف
بجهازك من الأخرين) . إن وجدت اي ملف غريب لم تشاهده بجهازك من قبل فأنقر
عليه بزر الماوس الأيمن ثم احذفه واخرج من ملف تسجيل الويندوز . اعد تشغيل
الجهاز وتوجة الي مجلد الـ System في اعدادات بقائمة إبداء. الأن ابحث عن
ملف يحمل نفس اسم الملف الغريب الذي حذفته وإذا لم تجده فأنقر قائمة (عرض)
ثم ( خيارات المجلد) ثم (عرض) من قائمة الملفات المختفيه ثم ضع علامه على
(اظهار جميع الملفات) ثم انقر تطبيق فموافق. ستعود مرة اخرى الي مجلد
System فإذا وجدت الملف المطلوب فقم بمسحة وستجد ملفا اخر اسمه windll.dll
قم بحذفه هو ايضا واعد تشغيل الجهاز . الأن تكون قد قطعت الطريق على
المخترق وجعلته يبحث عن سراب
-ثالثاً برنامج الsub seven
برنامج Sub Seven : من اشهر البرامج المستخدمة بمنطقة الخليج ، يسمونه
"القنبله" وهو مرغوب ومطلوب وشعبي لبساطته وسهولة تعلمه وسهولة الأختراق
عن طريقة . يتميز بمخادعة الشخص الذي يحاول ازالته فهو يعيد تركيب نفسه
تلقائيا بعد حذفه من ملف التسجيل بالويندوز

قبل شرح اعراض الاصابة التي يتركها هذا البرنامج بجهاز الضحية تأكد اولا
من عدم فتح منافذ الاتصال الخاصة به في جهازك بنفس الطريقة السابقة (اقرأ
مشاركتي السابقة)وقارنها بالمنافذ التاليه فإن وجدتها فأن جهازك حتما مصاب
وعليك متابعة الموضوع للتخلص من المخترق:

6711

6776

1243

1999

أعراض الأصابة :

تختلف اعراض اصابه هذا البرنامج عن البرنامجين السابقين فمن أهم أعراض
اصابه هذا البرنامج ظهور رسالة شهيرة عند كل مرة يدخل فيها المخترق لجهاز
الضحيه وهي ( قام هذا البرنامج بأنجاز عملية غير شرعيه ....) تريثوا ..
لايعني من رأى منكم هذة الرسالة على شاشته أن جهازه قد اخترق .. قلنا بأن
في هذا البرنامج الكثير من الخبث مما جعله مرغوبا خصوصا بمنطقة الخليج ،
فهو حينما يعطي رسالة كهذه إنما يوهم المخترق بـأن هذه الرسالة شائعة
ومعروفه ومن تظهر له فقد تعود عليها فلن يشك مطلقا قبل قراءة هذه الأسطر
في أن جهازه قد اخترق . كيف نميز بين الرسالة الصادقة البريئة والرسالة
الكاذبه الخبيثة

1- افتح ملف الـ win.ini الموجود بمجلد الويندوز وابحث في بداية السطور الأولى عن اي قيم شبيهة بالقيم التاليه:

run = xxxx.exe او run = xxxx.dl

load = xxxx.exe او load = xxxx.dl

لاحظ أن xxxx تعني اسم الخادم فإذا عثرت على اي قيمة منها فأحذفها فورا
وبمعنى اخر يجب أن لايظهر اي سطر من السطور اعلاه في بداية السطور الأولى
لملف الـ win.ini فإن ظهر فأحذفه على الفور.

2- افتح الملف system.ini الموجود بمجلد الويندوز وستجد بالسطر الخامس العبارة التالية :

Shell = Explorer.exe

إن كان جهازك مصابا فستجد شكل العبارة السابقة يكون هكذا:

Shell = Explorer.exe xxx.exe او shell = Explorer.exe xxx.exe

مع العلم بأن xxx هو اسم الخادم زمن اشهر اسمائة : rundlll6.exe وTask_Bar.exe

أن وجدت جهازك مصابا فقم بمسح اسم الخادم فقط ليصبح السطر كما يلي :

shell=Explorer.exe

والأن انت تكون قد قطعت الطريق بين ملف التجسس واسم الخادم الخاص به ونشبه
ذلك بمن قطع جهاز التنفس عن المريض فلا يبقى الا دفنه وعليك القيام بحذف
ملف التجسس الخاص بهذا البرنامج وبعد فكما رأينا خطورة الأختراق فإن
الوقاية خير من العلاج والوقاية الأولى هي عدم السماح بزرع ملفات التجسس
في اجهزتنا فهي حلقة الوصل الأولى لدخول المخترقين اليها .

وقد انتشرت برامج الحماية والبرامج المضادة للاختراقات انتشارا كبيرا قد
يصاب معه المستخدم بالحيرة فيما يختاره منها خصوصا اذا ما ادركنا بأن بعض
– وليس كل تلك البرامج- تقوم هي ذاتها بأنشطه تجسسية لصالح الشركة المصنعه
لها ولكنه لا يكون سواء تجسس إحصائي لمعرفة عدد المستخدمين للبرنامج
المذكور ، اما مانسمعه من وجود برامج للحماية تقوم تلقائيا بفتح منافذ
معينه بالأجهزة فأن هذا لم يثبت بعد في تقارير رسمية والشركات تدرك اليوم
بأن المستخدم العادي وفي اي بلد كان على جانب كبير من الوعي الذي يؤهله
لأكتشاف الثغرات الأمنيه بالبرنامج –ان وجدت- وشركات كتلك تهمها السمعه
اولا وأخيرا لأن ذلك يتوقف عليه نجاحها في السوق وبالتالي مكسبها وخسارتها.
مع تحيات صديقكم ملك

dead:

Deep Throat 2.0

يقوم هذا البرنامج بمسح الملف (سيستري) وأستبداله بالسيرفر الخاص به، هاذا
البرنامج فيه ميزة أنك تتحكم في المواقع اللي يزورها الضحية وتقوم بتوجيهه
لأي مكان ترغب وبإمكان المتحكم غلق وفتح الشاشة وأستخدمه عن طريق برامج
ألأف تي بي

الدييب يعمل على الويندوز98 وال95 ويعمل على الويندوزNT بعد الحصول على ملف خاص من نوع Dll .

في هذه النسخة من برنامج دييب (نسخة رقم2) يقوم البرنامج بمسح ملف
systray.exe الخاص بالويندوز وأستبداله بالسيرفر الخاص به ويكون حجم الملف
عادةً 36 كيلوبايت قبل ما يقوم السيرفر بتعديله ليصبح بعد ذلك حجمه بعد
التعديل حوالي 301 كيلوبايت. البورت الذي يستخدمه هو البورت رقم 6670 ،
أما إذا رغبت في أستخدام بروتوكول UDP فإن البورتات هي 2140 و 3150

اليكم بعض مميزاته مأخوذة من الملف المرفق معه:

- فتح وغلق السيدي روم في جهاز الضحية.

- أرسال رسالة للضحية ممكن الرد عليها.

- أخفاء شريط أبدء.

- تحميل الملفات من جهازك لجهاز المتحكم عن طريق الأف تي بي (بروتوكول نقل
الملفات) عن طريق المنفذ (البورت) 21 ويتطلب ذلك وجود السايلنت الخاص بـ
الأف تي بي ملحقاً بالبرنامج.

- أرسال الضحية لأي صفحة تريدها.

- أقفال وفتح شاشة كمبيوتر الضحية (إذا كانت تدعم توفير الطاقة).

- سرقة الباسوورد الموجودة لديك (دورت عليها في البرنامج وما حصلتها ، أحد يعرف كيف؟؟؟؟).

- أغلاق الكمبيوتر.

- عمل (سكان) لمعرفة السيرفرات الجاهزة للشبك معاها.

- عمل بينغ لسيرفر معين لمعرفة إذا كان صاحبة داخل على الأنترنت ولا لا.

لأستخدام خاصية نقل الملفات (أف تي بي) يجب أن يكون لديك برنامج أف تي بي
مثل (كيوت أف تي بي) مع العلم بأن أي برنامج أف تي بي سوف يعمل تمام مع
هذه النسخة.

للتخلص من السيرفر الخاص به

- إذهب إلى (أبــدء) ثم (أيقاف التشغيل) ثم أختر (إعادة التشغيل في وضع MS-DOS ).

- في الدوس توجه للمجلد سيستم الموجود في مجلد الويندوز وذلك بكتابة الأمر
التالي CD WINDOWS\SYSTEM ثم الضغط على Enter في لوحة المفاتيح (الكيبورد)
بعد ذلك أكتب الأمر التالي لمعرفة حجم الملف (سيستري) DIR systray.exe
فإذا وجدت أن حجمه حوالي 300 كيلوبايت فقم بحذفه بكتابة DEL systray.exe

- ثم أعد تشغيل الكمبيوتر بالنقر على CTRL و Alt و Delete

- الآن قد تخلصت من السيرفر الخاص بـ الديب وسوف تحتاج إلى نسخة من برنامج
سايستري الذي مسحته يمكنك الحصول عليها من السيدي الخاص بـ الويندوز أو من
كمبيوتر أي واحد من الشباب.

--------------------------------------------------------------------------------

Win Crash

أحد البرامج الأخرى، السيرفر الخاص به عادةً أسمه (سيرفر) وحجم السيرفر
حوالي 290كيلو بايت، وهو يتمركز في مجلد السيستم الموجود في مجلد

ويندوز

الوين كراش يعمل على أجهزة ويندوز98 وال95.

السيرفر الخاص به عادةً يكون أسمه server.exe وحجمه حوالي 290 كيلوبايت
وستجده بمجلد السيستم الموجود داخل مجلد ويندوز. البورت الذي يستخدم
للتخابر مع السايلنت هو البورت 5742

كيفية التخلص منه:

- شغل برنامج الريجستري ثم توجه للمجلدات التالية وذلك بالنقر على علامة الزائد الموجودة أمام كل مجلد:

HKEY_LOCAL_MACHINE : Software : Microsoft : Windows : CurrentVersion : Run

في مجلد (رن) أنظر في الجهة اليمنى وابحث عن مفتاح أسمه MsManager وهو
المفتاح الذي يقوم بتشغيل السيرفر تلقائيا، قم بحذفه بوضع الماوس على
المفتاح والنقر بالزر الأيمن وأختيار (ديليت) حذف.

الآن اعد تشغيل جهازك في وضع الدوس، ثم توجه لمجلد السيستم بكتابة الأمر
CD WINDOWS\SYSTEM وأضغط أنتر، ثم قم بمسح السيرفر وذلك بكتابة DEL
Server.exe حيث أن Server هو أسم السيرفر الذي وجدته في الريجستري.

اعد تشغيل الجهاز بالنقر على Ctrl+Alt+Delete

--------------------------------------------------------------------------------

Hack 'a'Tack

برنامج تجسس شائع الأستخدام في أمريكا وأوروبا، نادر الأستخدام في الخليج
والشرق الأوسط، لذا فأنا لا أعرف الكثير عنه يعمل هاذا البرنامج على
الويندوز98 وال95 وربما الNT

البورتات التي يستعملها هي 31785 و 31787 و 31789 و 31791 وذلك بأستخدام
بروتوكول TCP الشائع، أما المنافذ الخاصة ببروتوكول UDP فهي البورت رقم
(نسيتها)

البرنامج مكتوب بلغة ديلفي ولما تنزله من الأنترنت على شكل زيب فايل وتفك ضغطه حتجد ثلاثة ملفات هي:

- السيرفر وأسمه Server.exe وحجمه 235 كيلوبايت.

- السايلنت وأسمه Hack'a'Tack.exe وحجمه 293 كيلوبايت.

- بالإضافة إلى ملف تيكست أسمه (ريد مي تكفا).

مواصفات البرنامج:

- عمل (سكن) فحص أو بحث عن الأي بيهات المضروبة.

- أظهار معلومات الجهاز المستهدف (أسم صاحب الجهاز، التلفون، الشركة، الدولة..... ألخ)

- فتح وغلق السيدي.

- تجميد الماوس بحيث لا تستطيع تحريك الماوس.

مواصفات أخرى كثيرة مثل الفايل منجر (لتبادل أو سرقة ملفاتك) وعمل سكرين
شوت، وإظهار الباسوورد...... ألخ. صورة للسايلنت الخاص بـ البرنامج.

أزالة الباتش الخاص به

- قمت بعمل مونيتر لهاذا البرنامج بإستخدام برنامج (نورتون أن أنستيلر)
ووجدت أن الملفات التي يقوم بإضافتها هي: - أنشاء ملف بأسم Expl32.exe
وستجده في مجلد الويندوز.

- يقوم بعمل تغييرات في ملف Applog.ind الموجود في مجلد APPLOG الموجود في
مجلد الويندوز (إذا كان لديك مثل هاذا المجلد). - قم بحذف الملف الأول
المسمى Expl23.exe الموجود في مجلد الويندوز.

- شغل برنامج الريجستري وأذهب للمجلدات التالية:

HKEY_LOCAL_MACHINE : Software : Microsoft : Windows : CurrentVersion : Run

- في المجلد (Run) أبحث عن المفتاح Explorer32 وستجد أمامه مسار السيرفر
وهو C:\WINDOWS\Expl32.exe ضع الماوس عليه وأنقر باليمين وأختر (ديليت)
لحذفه.

--------------------------------------------------------------------------------

Girl Friend

برنامج قام بعمله شخص يدعى بـ الفاشل العام مهمته الرئيسية والخطيرة هي
سرقة جميع كلمات السر الموجودة في جهازك بما فيها الأي ميل واليوزر نيم
اللي عن طريقها تخش الأنترنت

القيرل فريند يصيب الويندوز98 والويندوز95.

السيرفر الخاص به أسمه windll.exe وهو موجود في مجلد الويندوز.

البورت الذي يستخدمه عادةً هو البورت رقم 21554 وذلك لعمل الأتصال مع السايلنت.

--------------------------------------------------------------------------------

أزالته من جهازك:

- هاذا البرنامج يبدو أنه متخصص في سرقة الباسوورد لذا فهو خطير بعكس
البرامج الأخرى التي توجد بها هذه الميزة... - شغل برنامج الريجستري ثم
توجه للمجلدات التالية:

HKEY_LOCAL_MACHINE : Software : Microsoft : Windows : CurrentVersion : Run

في مجلد (Run) وفي الجهة اليمنى أبحث عن المفتاح الذي توجد أمامه المسار
الخاص بـ القيرل فريند وهو C:\Windows\windll.exe ثم قم بمسحه. - أعد
تشغبل الكمبيوتر.

- بعد أن قمت بإعادة تشغيل جهازك (إعادة التشغيل لازمة لكي تستطيع حذفه
لأنه ما زال محمل في الذاكرة) توجه لمجلد الويندوز وأبحث عن الملف
windll.exe وقم بحذفه.

--------------------------------------------------------------------------------

Ports Info

في هذه الصفحة عرض للبورتات التي تستخدمها أكثر برامج التجسس أنتشاراً حتى
يتسنى لك مراقبتها، بالإضافة لصفحة خاصة وضخمة تحتوي على جميع البورتات
الموجودة والتي يتقدر بعشرات الألاف من البورتات

في هذه الصفحة عرض للبورتات (المنافذ) التي يستخدمها الهاكر للدخول على جهازك.

المنافذ الموجودة هنا هي للبروتوكول TCP وهو الأغلب في الأستخدم كما أنك
تستخدمه للأتصال بالأنترنت أيضاً هناك بروتوكول أخر هو بروتوكول UDP لذا
فإن البورت سوف يختلف من بروتوكول لأخر، إلا انه وبنسبة 95% تقريباً يتم
أستخدام بروتوكولTCP .

يمكنك معرفة المنافذ العاملة حين أتصالك بالأنترنت عن طريق برنامج (نيت ستيت) الموجود في الويندوز.

أنقر على زر (أبدء) ثم (البرامج) ثم (MS-DOS Prompt) وعندما تكون متصلاً
بالأنترنت أكتب الأمر التالي netstat ثم أضغط Enter في لوحة المفاتيح وسوف
يقوم بعرض البورتات العاملة ونوع البروتوكول وحالته من ناحية الأستماع،
هناك برنامج رهيب أسمه (IP Tools) يؤدي نفس المهمة كما يقوم بفحص البورتات
ومراقبتها بالإضافة إلى كل ما يحبه قلبك من الـ(بينغ) والـ(تراكس)
والـ(فينغر) والتعامل مع الأي بي والتلي نيت.

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

Master Paradise

تعريـف : يعتبر هذا البرنامج سيد برامج الاختراق … ويختى ايضا فى الريجسترى

التخلص منه :

اتجه للرجسترى ثم ابحث عن امتداد الملف و قم بمسحه .

“C:\windowds\nameofthe.exe

--------------------------------------------------------------------------------

Net Bus 2000

تعريف : برنامج النت باص 2000 يستخدم السيرفر العادى وهو : server.exe
ولاكن يمكن تغير الاسم … وهو يسجل نفسه ولاكن غفى منطقه اخرى فى اليجسترى
..

التخلص منه :

للتخلص من البرنامج قم بالبحث عن الملف ولاكن بدلا من : HKEY_LOCAL_MACHIN اتجــه الــى : HKEY_LOCAL_USERS

ثم ابحث عن :

HKEY_LOCAL_USER\SOFTWARE\MICROSOFTE\WINDOWS\CURREN T VERSION\RUN SERVICES\Key:UMG32.EXE

الكلمه التى تحتها خط هى الخادم للبرنامج او السيرفر .. ان وجدتها قم
باطفاء الجهاز واعاده تشغيله فى وضع اليسف مود ( Safe Mode) ثم تخلص من
الملف واعد تشغيل الجهاز..

--------------------------------------------------------------------------------

ICQ Torjan

تعريف : يقم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على
اختراق جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقم
الملف بتغير الاسكيو الحقيقى لديك ICQ.exe وابعاده وتغير اسمه ليصبح
ICQ2.EXE ….

التخلص منه :

يمكن التخلص من الملف بكل سهوله ..اتجه الى الملف الخاص بالاسكيو وقم بحف ملف الاسكيو

ICQ.EXE ثم قم بتعديل اسم الاسكيو الحقيقى .. ICQ2.EXE الى ICQ.EXE

منقول للفائده
تحياتي

برامج
الإختراق يسمى في منطقة الخليج ( الباكدور جي ) ويطلق عليه البعض إسم
القنبلة تتركز خطورته في أنه يتميز بمخادعة الشخص الذي يحاول إزالته فهو
يعيد تركيب نفسه تلقائيا بعد حذفه
يعتبر أقوى برنامج إختراق للأجهزة الشخصية وفي إصدارته الأخيرة يمكنه أن
يخترق سيرفر لقنوات المحادثة Mirc كما يمكنه إخترق أي جهاز أي شخص بمجرد
معرفة إسمه في ICQ
أخطر برامج الإختراق يسمى في منطقة الخليج (
الباكدور جي ) ويطلق عليه البعض إسم القنبلة تتركز خطورته في أنه يتميز
بمخادعة الشخص الذي يحاول إزالته فهو يعيد تركيب نفسه تلقائيا بعد
حذفهيعتبر أقوى برنامج إختراق للأجهزة الشخصية .. وفي إصدارته الأخيرة
يمكنه أن يخترق سيرفر لقنوات المحادثة Mirc كما يمكنه إخترق أي جهاز أي
شخص بمجرد معرفة إسمه في ICQ كما يمكنه إختراقمزودات البريد smtp/pop3
يعتبر الإختراق به صعب نسبيا وذلك لعدم إنتشار ملف التجسس الخاص به في
أجهزة المستخدمين الا أنه قائما حاليا على الإنتشار بصورة مذهلة ويتوقع
أنه بحلول منتصف عام 2001 سوف تكون نسبة الأجهزة المصابة بملف السيرفر
الخاص به 40-55 % من مستخدمي الإنترنت حول العالم وهذه نسبة مخيفة جدا إذا
تحققت فعلا ... مميزاته خطيرة للغاية فهو يمكن المخترق من السيطرة الكاملة
على الجهاز وكأنه جالس على الجهاز الخاص به حيث يحتوي على أوامر كثيرة
تمكنه من السيطرة عليه ... بل يستطيع أحيانا الحصول على أشياء لا يستطيع
مستخدم الجهاز نفسه الحصول عليها مثل كلمات المرور .. فالمخترق من هذا
البرنامج يستطيع الحصول على جميع كلمات المرور التي يستخدمها صاحب الجهاز
!!! ولخطورته الكبيرة فسوف نفصل في الشرح عنهأعـراض الإصابة :

من
أهم أعراض الإصابة بهذا البرنامج ظهور رسالة " قام هذا البرنامج بأداء
عملية غير شرعية ... " وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك
الماوس أو النقر على لىحة المفاتيح حيث يقوم البرنامج بعمل تغييرات في
حافظة الشاشة وتظهر هذه الرسائل عادة عندما تقوم بإزالة إدخالات البرنامج
في ملف system.ini كما أن بإمكان الخادم إعادة إنشاء نفسه بعد حذفه من
الويندوز بإستخدام بعض الملفات المساعدة له في ذلك

خطورة البرنامج :

يمكن
عمل تعديلات على الخادم الخاص بالبرنامج من خلال برنامج التحرير الخاص به
لذلك فإنه من الواجب البحث في أي مكان ممكن أن يسجل فيه ليعمل تلقائيا
يعني أي مكان يمكن وضع أوامر للويندوز ليقوم بتشغيله تلقائيا .

التخلص منه :

1- إفتح الملف win.ini الموجود في مجلد الويندوز وابحث في بداية السطور الأولى من هذاالملف عن أي قيك شبيهة بالقيم التـالية :

run=xxxx.exe أو run = xxxx.dll أو Load=xxxx.exe أو Load = xxxx.dll

لاحظ أن xxxx تعني إسم الخادم وإذا عثرت على أي قيمة منها فقم بحذفها

2- افتح الملف system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر التالي :

shell = Explorer.exe ... فإذا كان جهازك مصابا ستجد السطر على هذا الشكل :

shell=Explorer.exe xxxx.exe .... أو shell = Explorer.exe xxxx.dll

مع
العلم بأن xxxx هو إسم الخادم الذي من أشهر أسمائه rundll16.exe و
Task_Bar.exe فإذا كان كذلك فقم بمسح إسم الخادم فقط ليصبح السطر : shell
= Explorer.exe

3- إضغط على start ثم تشغيل ثم إكتب regedit لتدخل الى

ملف السجل ثم قم بالدخول تسلسليا على الأتي :

HKEY_LOCAL_MACHINE

Software

Microsoft

Windows

Current Version

داخل
المجلد Run إبحث عن إسم الخادم الذي عثرت عليه في مــلف system.ini أو
الملف win.ini ( في بعض الأحيان قد يتغير إسم الخادم في ملف التسجيل لذلك
إبحث عن أي شي غريب ) ثم بعد ذلك توجه لمجلد الويندوز وستجد أن حجم الخادم
الذي عثرت عليه في ملف التسجيل حوالي 328 كيلو بايت إذا كان كذلك عد لنفس
المنطقة في ملف التسجيل وقم بحذف القيمة وذلك بالنقر على إسمها وإختيار
حذف delete الآن أعد تشغيل الجهاز ثم توجه لمجلد الويندوز وقم بحذف الخادم
بالنقر عليه بالزر الأيمن للماوس وإختيار حذف