منتديات الوئام

منتديات الوئام (http://www.alweam.net/vb/index.php)
-   حماية الاجهزة (http://www.alweam.net/vb/forumdisplay.php?f=10)
-   -   تحذير من تروجان جديد يدخل الى جهازك من خلال المتصفح !!!!! (http://www.alweam.net/vb/showthread.php?t=8604)

mo3od 26 / 08 / 2001 05 : 03 AM

تحذير من تروجان جديد يدخل الى جهازك من خلال المتصفح !!!!!
 
السلام عليكم ورحمة الله

حذرت الشركات المنتجة للبرامج المضادة من تروجان جديد يدعى Trojan.Offensive كما يعرف ايضا باسمTrojan.JS.Offensive ويتم دخوله الى الجهاز عن طريق المتصفح اي من خلال تصفح موقع معين وهذا التروجان له اثار خطيرة على جهاز الضحية واليكم التفاصيل :

هجوم التروجان (حصان طروادة) الذي يجيء في شكل ملف إتش تي إم إل.HTML (وهو يمكن أن يكون صفحة ويب أيضا على الإنترنت).

يستغلّ هذا التروجان قابليات أكتيف إكس، التي تسمح له بالتعديل بالصفحة الرئيسية لمتصفّحك، بالإضافة إلى لتحديد وصولك بشدّة إلى النظام. إذا نشطت التروجان ، أنت يجب أن أمّا ان تستعين تتّصل بمحترف حاسوب للمساعدة أو اعادة تثبيت الويندوز.

إثنان من مغايرات هذا التروجان إستلمت من قبل Symantec. تختلف هذه المغايرات فقط في الطريقه وهم منشّطون:


يعرض المغاير الأول زرّ واحد Start الذي يحتوي "بداية" النصّ وهو ينشّط متى تنقر الزرّ .

المغاير الثاني لا يعرض زرّ، وهو سينشّط حالما تفتح ملف الإتش تي إم إل.

تحذير: إذا برنامج نورتون AntiVirus اكتشف الملف المصاب بالتروجان . JS. يجب عليك أن تحذف الملف فورا ولا تقم ابدا بفتحه.



طول العدوى : ملف إتش تي إم إل HTML واحد

تم التعرف على الفيروس: أغسطس/آب 20, 2001

الوصف التقني:

الأعراض

أكثر الخيارات في قائمة البداية لها الأيقونة لملف نصّ.
لا أيقونات مرئية على مكتب النوافذ.
أنت لا تستطيع بدء أيّ برامج.
أنت لا تستطيع اغلاق الويندوز، وعند محاولة الاغلاق تاتيك رسالة بأنّه لا يمكن لاعدادات امنية .
تختفي هذه الاعراض عند الدخول بالسيف مود ( الامان) .

التنشيط
متى نشّط، يخلق هذا التروجان مفاتيح وقيم للريجستري وهي :

Key:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer
Values:
RestrictRun
NoChangeStartMenu
NoClose
NoDrives
NoDriveTypeAutoRun
NoFavoritesMenu
NoFileMenu
NoFind
NoFolderOptions
NoInternetIcon
NoRecentDocsMenu
NoLogOff
NoRun
NoSetActiveDesktop
NoSetFolders
NoSetTaskbar
NoWindowsUpdate
Nodesktop
NoViewContextMenu
NoNetHooD
NoEntioeNetwork
NoWorkgroupContents
NoSaveSettings

Key:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System
Values:
DisableRegistryTools
NoConfigPage
NoDevMgrPage
NoDispAppearancePage
NoDispScrSavPage
NoDispBackgroundPage
NoDispSettingsPage
NoFileSysPage
NoVirtMemPage

Key:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\WinOldApp
Values:
NoRealMode
Disabled

Keys:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\Window Title

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer\Main\Window Title
Values:
Window Title
Start Page

Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Winlogon
Values:
LegalNoticeCaption
LegalNoticeText

Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer\Extensions\
{C18CB140-0BBB-11D4-8FE8-0088CC102438}
Values:
ButtonText
CLSID
DefaultVisible
Exec
MenuStatusBar
MenuText

Key:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\MenuExt\how to * japanese

Key:
HKEY_CLASSES_ROOT\Drive\shell\how to * japan

Keys:
HKEY_LOCAL_MACHINE\Software\CLASSES\.exe
HKEY_LOCAL_MACHINE\Software\CLASSES\.reg
HKEY_LOCAL_MACHINE\Software\CLASSES\.htm
HKEY_LOCAL_MACHINE\Software\CLASSES\.html
HKEY_LOCAL_MACHINE\Software\CLASSES\.txt
HKEY_LOCAL_MACHINE\Software\CLASSES\.inf
HKEY_LOCAL_MACHINE\Software\CLASSES\.dll
HKEY_LOCAL_MACHINE\Software\CLASSES\.ini
HKEY_LOCAL_MACHINE\Software\CLASSES\.sys
HKEY_LOCAL_MACHINE\Software\CLASSES\.com
HKEY_LOCAL_MACHINE\Software\CLASSES\.bat
Value:
(default) is set to textfile

Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Value:
internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile

Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Value:
LoadPowerProfile
SchedulingAgent




طريقة الإزالة :

تعتمد الطريقة على تم اعدام التروجان وحذفه ام لا .

إذا كان التروجان لم يتم حذفه واعدامه :

1- قم بعمل تحديث للبرنامج المضاد للفيروسات لديك LiveUpdate لتأكيد بانه لديك آخر تحديث يحمل تعاريف الفيروس.
2- إبدأ نورتون AntiVirus وأختر فحص النظام كاملا واعمل على تاكيد خيار الازالة او الحذف للملفات المصابة بالتروجان .
3. إحذف كلّ الملفات التي تكتشف التروجان . JS.


هذه الطريقة اذا تم حذف التروجان :

هذا التروجان خبيث وضار جدا. إذا كان نفّذ، أنت لن تكون قادر على تشغيل أيّ برامج لديك ومن ضمنها نورتون AntiVirus. لتتمكن من التعافي، أنت يجب أن تعمل الاتي :

إحذف الملف الذي اصيب بالبداية بالتروجان . أنت ستكون قادر على تعمل فقط هذا عن طريق دوس Dos (إذا يجيز نظام تشغيلك هذا) ويستخدم هنا اقراص الإنقاذ الخاصة بالنورتون .

أزل كلّ قيم الريجيستري كون التروجان قام بعمل قيم جديده . أنت لن تكون قادر على ان تعمل هذا في الويندوز . الطريق الوحيد لإزالة القيم با استخدام command prompt . وهذا صعب جدا و يحتاج الى وقت طويل وتحتاج الى محترف كمبيوتر وليس امامك الا تثبيت الويندوز من جديد او تستعين بمحترف يمكنه التعديل في قيم الريجستري .


من يمتلك برنامج مضاد للفيروسات عليه المبادرة بالتحديث حالا وعند اكتشاف هذا التروجان لديه عليه حذفه فورا .

ملاحظة : امل ممن يرغب بنقل الموضوع الى منتديات اخرى ادبيا ان يشير الى منتدى الوئام كمصدر .


........................... تحياتي ..........................




Pc-BrOkEr 26 / 08 / 2001 34 : 03 AM

ياهلا اخي mo3od
 
دائماً سبّاق كاعادتك وبالفعل انت تثبت انك حريص على كل من يرتاد هذا المنتدى سواء عضو او زائر .
الف شكر لك اخي mo3od على هذا الموضوع وشرحك الوافي له من ناحية الاصابة والوقاية منه .

تحياتي الحارة لك

اخوك
Pc BrOkEr

جريح الماضي 26 / 08 / 2001 51 : 05 AM


السلام عليكم

شكراا اخوي mo3od

يعطيك ألف عافيه ، ، ،

شكرااا على تزويدك لنا بالمعلومات والنصائح والشرح الحلوو

:)

وتقبل خالص شكري واحترامي

معاني 27 / 08 / 2001 51 : 11 AM

يا لااااااهوي


تسلم اخوي
هذي اول مشاركه لي هنا
فعلا استفدت

mo3od 02 / 09 / 2001 45 : 05 PM

السلام عليكم ورحمة الله
 
اخي Pc-BrOkEr
اخي جريح الماضي
اختي معاني

العفو وتسلمون والله ينفع به .


.................. تحياتي .........................





الساعة الآن 46 : 05 PM بتوقيت السعودية

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
new notificatio by
9adq_ala7sas

[ Crystal ® MmS & SmS - 3.7 By L I V R Z ]