السلام عليكم
احيانا تصلك رسالة على بريدك ويوجد معها مرفقات مثل صور او ملف صوتي اوفيديو
هذي طبعا معروفة تنزل الملف وتفتحة بدون خوف
بعض الاحيان تصلك رسالة فيها ملف بأمتداد لاتعرفة من الافضل لك ان لا تفتحة ابدا
مثل هذة الرسالة وهذا الملف المرفق معها الذي وصل احد المستخدمين
ولكنة كان منتبها وأقرأو مايقول
وصلتني من البريد رسالة
وهي بعنوان
Es posible que nos roben la identidad
وهذا نص الرسالة :
lee el o y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso.
اما المرفقات فهو ملف باسم
YaNoPuedoSerYoMismo.DOC.pif
وحجمه 225 كليوبايت
فاستغربت كيف يكون هذا الامتداد الغريب للملف وهو
pif ?
فهذا الملف تنفيذي يعمل على الدوس
فقمت بفحصه عن طريق موقع مكافي الموجود بواسطة بريد الهوتميل ولكنه اعطاني النتيجة الخادعة وهي :
no virus found
فبحثت عنه فوجد المعلومات التالية :
مستوى الخطورة : منخفض
الاسم المستعار: Win32.Kitro.d
ARGEN.A
VBS_LEOLE.A
W32.Banegra.int
W32.Kitro.D.Worm
النوع : دودة Worm
البرامج التي يعمل عن طريقها : اي برنامج
طريقة الانتشار : البريد الالكتروني
التأثير : حذف ملفات + انشاء ملفات + ارسال رسائل الكترونية
القدرة : يستطيع هذا الفيروس الانتشار عبر البريد الالكتروني وانشاء نسخ متعددة لنفسه والملف BanderaNegra.VBS
داخل مجلد الوندوز
تستطيع معرفته بهذه الصفات :
يكون موضوع الرسالة كأحد هذه المواضيع :
Te han enviado una postal Leelo y reenvialo a quienes aprecias Listado de falsas alarmas This is a last hoax list Para los amigos Fw: Enviame tu foto Es posible que nos roben la identidad Messenger vulnerable 77:Test de amor
نص الرسالة يكون كالآتي :
Postales NetWork (c)1999-2002. Si lo que expone este o es lo que sientes, envialo a tus amigos, algun sue o se hara realidad. Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien. I send the list of false alarms, so that you do not make case to the lies bye. Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del o se especifica, Saludos. bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje. lee el o y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso. si, ahora nos pueden espiar la cuenta, te envio el o donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible. Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones
الملفات المرفقة : قد تكون أحد هذه الملفات :
PostalDeAmistad.pif Cristo_Nos_Enseٌa.doc.pif Listado.txt.by.Microsoft.com List.txt.by.Microsoft.com Facturas556.XLS.pif EnLosAndes.pif YaNoPuedoSerYoMismo.DOC.pif ReparacionDeMessenger.DOC.pif TestDeAmoryAmistad.DOC.pif
يقوم بحذف الملفات غير المخفية من مجلد الوندوز ثم يقوم بوضع ملف BanderaNegra.VBS في ذلك المجلد وهذا الملف هوالمسوؤل عن نشر هذا الفيروس الى العناوين البريدية ثم يقوم بنسخ نفسه داخل الملفات كالتالي :
- C:\AUTOEXEC.BAK .EXE - C:\MSDOS.TIL .EXE - C:\ .EXE - C:\HackTools.EXE - C:\COMMAND.COM .EXE - C:\MSDOS.SYS .EXE - C:\CONFIG.SYS .EXE - C:\AUTOEXEC.BAT .EXE - C:\IO.SYS .EXE - C:\CONFIG.JPS .EXE - C:\CONFIG.BAK .EXE - C:\SCANDISK.LOG .EXE - C:\MSDOS.NAM .EXE - C:\COMPATID.TXT .EXE - C:\AVP40CRACK.EXE - C:\ResidentEvil-Crack.EXE - C:\AVP-SpanishPatch.EXE - C:\PandaAllCracks.EXE - C:\SexoenlaCalle-Video.EX - C:\Sexo-Asiatico-FullVideo.EXE - C:\MessengerSkins29.EXE - C:\MP3EncoderDecoder58.EXE - C:\GameCube-FreeEmulator.EXE - C:\PSX2-Emulator.EXE - C:\X-Box_Emulator.EXE - C:\PSXEmulator_Full.EXE - C:\CounterStrikeMoreServers.EXE - C:\Jedi2-FullCrack.EXE - C:\W98ToXpActualization.EXE - C:\GamesPSX2Emulator.EXE - C:\CopyPSXgamesV12.EXE - Windows\XP-Serials.EXE - Windows\PostalDeAmistad.PIF - Windows\Cristo_Nos_Ense?a.Doc.PIF - Windows\Listado.txt.by.Microsoft.COM - Windows\List.txt.by.Microsoft.COM - Windows\Facturas556.XLS.PIF - Windows\EnLosAndes.PIF - Windows\YaNoPuedoSerYoMismo.DOC.PIF - Windows\ReparacionDeMessenger.DOC.PIF - Windows\TestDeAmoryAmistad.DOC.PIF - Windows\APPLOG\BITES.LGC - Windows\Recent\1.EXE.LNK - Windows\Recent\_VIRUS (2).LNK
ثم ينشيء ادخالات السجل التالية :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ KAZAACuF = "9"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ PAV.EXE = "RandomNumber"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ Zonavirus = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SharedFiles\ Folder = "RandomNumber"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ Bnexe = Filename
ثم يستخدم الاوت لنسخ نفسه منها وارسال النسخة الى العناوين المسجلة في الميكروسوفت آوت لوك فتكون النتيجة كما تقدم في اول المقال .