ta3mia
07-01-2003, 12:49 PM
المواصفات الفنية للفيروس
عند تشغيل فيروس ياماها اول شي يقوم بنسخ نفسه في في ملفات مخفية بهذه الاسماء والامكان
C:\%System%\WinServices.exe.
C:\%System%\Nav32_loader.exe
C:\%System%\Tcpsvs32.exe
يقوم بتحديد مكان مجلد الوندوز وينسخ نفسه في هذه الموقع بصفة ثابته
وذلك حسب اصدار الوندوز
NOTE: %System% is a variable. The worm locates the Windows system folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows 2000/NT/), or C:\Windows\System32 (Windows XP).
يقوم بعمل صيغة وقانون في الرجستري بالقيمة التالية
WinServices.exe C:\%System%\WinServices.exe
وفي الرجستري في هذه المواقع
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
وبذلك يقوم الفيروس بتشغيل نفسه كل مرة تقوم بتشغيل الجهاز فيها
يقوم الفيروس باعداد نفسه ليقوم بتشغ يل نفسه كل مرة على اساس انه ملف تطبيقي وذلك بتغير قيمته الخاصة في الرجستري
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command
to
C:\%System%\WinServices.exe"%1 %*
وقد يقوم الفيروس بنسخ نفسه في مجلد
\Windows\System
بهذه الاسماء
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
يقوم الفيروس باغلاق ملفات مكافحة الفيروسات والحماية وذلك بعمل قانون لها يمنعها من ايقاف اي ملف يحمل اي من الاسماء التالية
REGEDIT
ACKWIN32
F-AGNT95
SWEEP95
VET95
N32SCANW
_AVPM
LOCKDOWNADVANCED
NSPLUGIN
NSCHEDNT
NRESQ32
NPSSVC
NOD32
_AVPCC
_AVP32
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
TDS2-98
SCAN32
PCFWALLICON
NSCHED32
IAMSERV.EXE
FRW.EXE
MCAFEE
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
RMVTRJANSAFEWEB
WEBSCANX
PVIEW
ANTIVIR
المواصفات الخاصة بالايميل
===============================
>> qph@hackermail.com
or
=================================================
W32.@YerH$.B,Made in India.
wE aRe thE greAt iNdiAnS.
----------------------------
iNdiAn hAckeRs + vXerS teAm up...
aNd kicK lamEr a**
no m0re pAk shIT..
itZ oUr tiMe to shOw tHem, the p0wer of teaM w0rk.
f**k AIC,GFORCE,SILVERLORDS,WFD..f*****g k1dd1es..
no sHit bUsineSS iN heRe aNd
nO lamE stuFF..
=================================================
>> qph@hackermail.com
طريقة التخلص من الفيروس
اذا نزلت الفيروس وشغلته اول شي تعمله هوه تحديث النورتن انتي فايروس
اعادة تشغيل الجهاز
نسخ ملف
Copy Regedit.exe
الى
Reg.com
وذلك حسب الخطوات التالية وحسب نظام التشغيل الخاص بجهازك
بعد تعديل الرجستري
قم باعادة تشغيل الجهاز
قم بتشغيل برنامج مكافحة الفيروسات واذا لم يقم بتشغيل نفسه
قم بتحميل المف التالي وهو التحديث الذكي الخاص بازالة هذا الفيروس
http://securityresponse.symantec.com/avcenter/def s.download.html.
لمستخدمين نظام وندوز 95 و 98 يقوم بالذهاب الى
أبدأ ثم البرامج وبعد ذلك يقوم باختيار ايقونه
MS-DOS
وبذلك راح تفتح لك شاشة الدوس
بعد كذا انتقل للخطوة الثانية
اما لو كنت تستخدم نظام وندوز ملينيوم
اذهب الى ابدأ ثم برامج بعد ذلك برامج ملحقة ثم MS-DOS
اما بخصوص مستخدمين وندوز ان تي و 2000
فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
أكتب فيها الامر التالي
cd \winnt
ثم انتقل للخطوة الثانية
لو كنت تستخدم وندوز اكس بي
فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
أكتب فيها الامر التالي
cd \windows
الخطوة الثانية قم بكتابة الأمر التالي
copy regedit.exe reg.com
اضغط انتر
ثم اكتب الامر التالي
start reg.com
وأنتر
بعد اتمام هذه العملية عليك ان تقوم بتعديل الرجستري وذلك حسب الخطوات التالية
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command
روح على تشغيل
RUN
اكتب فيها
REGEDIT
واحظ ملف الرجستي القديم عشان اذا خبصت ما تروح وطي
وتحفظه بانك تروح لكلمة رجستري فوق وتقوله اكسبورت رجستري فايل وتحفظ الملف في مكان كويس وبعد كذا اختار
HKEY_LOCAL_MACHINE
ثم
Software
بعد كذا
Classes
ثم
exefile
ثم
shell
ثم
open
ثم
command
وبعد كذا دبل كلك على كلمة ديفولت وغير القيمة الموجودة للقيمة هذه
"%1" %*
وهية
علامة تنصيص + علامة المئوية +رقم واحد + علامة تنصيص +مسافة + علامة مئوية +نجمة
بالنسبة لوندوز 95 و 98 ووندوز ان تي راح تكون هذه القيمة موجودة اول ما تضغط على زر الاوكي وراح تظهر بهذا الشكل
""%1" %*"
نلاحظ علامة تنصيص زايدة وهذه ما راح تظهر لو كان نظام التشغيل
الوندوز 2000 والاكس بي
بعد كذا روح واتاكد من مجلدات الرجستري هذه
HKEY_LOC AL_MACHINE\Software\Microsoft\Windows\CurrentVersi on\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
وبنفس الطريقة السابقة تقدر توصل لها
بعني
HKEY_LOCAL_MACHINE
ثم
Software\Microsoft
ثم
Windows
ثم
CurrentVersion
ثم
Run
وتتاكد اذا
من حذف هذه القيم من الجهة اليمين
WinServices.exe C:\%System%\WinServices.exe
وبعد كذا تقوم باعادة تشغيل الجهاز
منقول
عند تشغيل فيروس ياماها اول شي يقوم بنسخ نفسه في في ملفات مخفية بهذه الاسماء والامكان
C:\%System%\WinServices.exe.
C:\%System%\Nav32_loader.exe
C:\%System%\Tcpsvs32.exe
يقوم بتحديد مكان مجلد الوندوز وينسخ نفسه في هذه الموقع بصفة ثابته
وذلك حسب اصدار الوندوز
NOTE: %System% is a variable. The worm locates the Windows system folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows 2000/NT/), or C:\Windows\System32 (Windows XP).
يقوم بعمل صيغة وقانون في الرجستري بالقيمة التالية
WinServices.exe C:\%System%\WinServices.exe
وفي الرجستري في هذه المواقع
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
وبذلك يقوم الفيروس بتشغيل نفسه كل مرة تقوم بتشغيل الجهاز فيها
يقوم الفيروس باعداد نفسه ليقوم بتشغ يل نفسه كل مرة على اساس انه ملف تطبيقي وذلك بتغير قيمته الخاصة في الرجستري
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command
to
C:\%System%\WinServices.exe"%1 %*
وقد يقوم الفيروس بنسخ نفسه في مجلد
\Windows\System
بهذه الاسماء
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
يقوم الفيروس باغلاق ملفات مكافحة الفيروسات والحماية وذلك بعمل قانون لها يمنعها من ايقاف اي ملف يحمل اي من الاسماء التالية
REGEDIT
ACKWIN32
F-AGNT95
SWEEP95
VET95
N32SCANW
_AVPM
LOCKDOWNADVANCED
NSPLUGIN
NSCHEDNT
NRESQ32
NPSSVC
NOD32
_AVPCC
_AVP32
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
TDS2-98
SCAN32
PCFWALLICON
NSCHED32
IAMSERV.EXE
FRW.EXE
MCAFEE
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
RMVTRJANSAFEWEB
WEBSCANX
PVIEW
ANTIVIR
المواصفات الخاصة بالايميل
===============================
>> qph@hackermail.com
or
=================================================
W32.@YerH$.B,Made in India.
wE aRe thE greAt iNdiAnS.
----------------------------
iNdiAn hAckeRs + vXerS teAm up...
aNd kicK lamEr a**
no m0re pAk shIT..
itZ oUr tiMe to shOw tHem, the p0wer of teaM w0rk.
f**k AIC,GFORCE,SILVERLORDS,WFD..f*****g k1dd1es..
no sHit bUsineSS iN heRe aNd
nO lamE stuFF..
=================================================
>> qph@hackermail.com
طريقة التخلص من الفيروس
اذا نزلت الفيروس وشغلته اول شي تعمله هوه تحديث النورتن انتي فايروس
اعادة تشغيل الجهاز
نسخ ملف
Copy Regedit.exe
الى
Reg.com
وذلك حسب الخطوات التالية وحسب نظام التشغيل الخاص بجهازك
بعد تعديل الرجستري
قم باعادة تشغيل الجهاز
قم بتشغيل برنامج مكافحة الفيروسات واذا لم يقم بتشغيل نفسه
قم بتحميل المف التالي وهو التحديث الذكي الخاص بازالة هذا الفيروس
http://securityresponse.symantec.com/avcenter/def s.download.html.
لمستخدمين نظام وندوز 95 و 98 يقوم بالذهاب الى
أبدأ ثم البرامج وبعد ذلك يقوم باختيار ايقونه
MS-DOS
وبذلك راح تفتح لك شاشة الدوس
بعد كذا انتقل للخطوة الثانية
اما لو كنت تستخدم نظام وندوز ملينيوم
اذهب الى ابدأ ثم برامج بعد ذلك برامج ملحقة ثم MS-DOS
اما بخصوص مستخدمين وندوز ان تي و 2000
فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
أكتب فيها الامر التالي
cd \winnt
ثم انتقل للخطوة الثانية
لو كنت تستخدم وندوز اكس بي
فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
أكتب فيها الامر التالي
cd \windows
الخطوة الثانية قم بكتابة الأمر التالي
copy regedit.exe reg.com
اضغط انتر
ثم اكتب الامر التالي
start reg.com
وأنتر
بعد اتمام هذه العملية عليك ان تقوم بتعديل الرجستري وذلك حسب الخطوات التالية
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command
روح على تشغيل
RUN
اكتب فيها
REGEDIT
واحظ ملف الرجستي القديم عشان اذا خبصت ما تروح وطي
وتحفظه بانك تروح لكلمة رجستري فوق وتقوله اكسبورت رجستري فايل وتحفظ الملف في مكان كويس وبعد كذا اختار
HKEY_LOCAL_MACHINE
ثم
Software
بعد كذا
Classes
ثم
exefile
ثم
shell
ثم
open
ثم
command
وبعد كذا دبل كلك على كلمة ديفولت وغير القيمة الموجودة للقيمة هذه
"%1" %*
وهية
علامة تنصيص + علامة المئوية +رقم واحد + علامة تنصيص +مسافة + علامة مئوية +نجمة
بالنسبة لوندوز 95 و 98 ووندوز ان تي راح تكون هذه القيمة موجودة اول ما تضغط على زر الاوكي وراح تظهر بهذا الشكل
""%1" %*"
نلاحظ علامة تنصيص زايدة وهذه ما راح تظهر لو كان نظام التشغيل
الوندوز 2000 والاكس بي
بعد كذا روح واتاكد من مجلدات الرجستري هذه
HKEY_LOC AL_MACHINE\Software\Microsoft\Windows\CurrentVersi on\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
وبنفس الطريقة السابقة تقدر توصل لها
بعني
HKEY_LOCAL_MACHINE
ثم
Software\Microsoft
ثم
Windows
ثم
CurrentVersion
ثم
Run
وتتاكد اذا
من حذف هذه القيم من الجهة اليمين
WinServices.exe C:\%System%\WinServices.exe
وبعد كذا تقوم باعادة تشغيل الجهاز
منقول