كيف تصبح هكر (( الجزء الرابع )) شرح لأهم برامج الهكرز The FreeLinl : وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة VB s***pting حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو Check this :وتكون الرسالة المصاحبة لهذا العنوان هي Have fun with these links. Bye :فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما c:\windows\links.vbs c:\windows\system\rundll.vbs :أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr entVersion\Run\Rundll=RUNDLL.VBS :وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي Free XXX links :وتحت العنوان تظهر الرسالة التالية This will add a shortcut to free XXX links on your desktop Do you want to continue? :ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثل الميرك MIRC32.exe Pirch98.exe وسوف يقوم بتعديل الملفات التالية : S***PT.INI EVENTS.INI :وذلك حتى يتمكن من إرسال LINKS.VBS إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين :والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي VBS Freelink :كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه أولا : قم بالبحث عن الملفات التالية LINKS.VBS RUNDLL.VBS و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك. ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع Regedit وستجد القيمة التالية فيه فقط قم بمسحها تماما HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr entVersion\Run\Rundll=RUNDLL.VBS بعد ذلك قم بأعادة تشغيل الويندوز Happy99 : وهو أيضا يضع خادم له داخل جهازك تحت اسم SKA.EXE وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ ذلك. ثم يقوم بتغير الملف WSOCK32.DLL ويحتفظ بالملف الأصلي تحت اسم WSOCK32.SKA ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه Happy99 وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها :الأسماء المستعارة لهذا البرنامج هي win32.ska ska wsocks.ska ska.exe :كيفية التخلص منة :قم بالبحث عن الملفات التالية في المجلد التالي C:\Windows\system SKS.EXE SKA.DLL WSOCK32.SKA :إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية SKA.EXE SKA.DLL WSOCK32.DLL بعد ذلك قم بإعادة تسمية الملف WSOCK32.SKA :إلى الاسم التالي WSOCK32.DLL ---------------------------- K2Ps : فقط يستطيع التمكن من وندوز 95 و وندوز 98 وقد انشر عن طريق البريد الإلكتروني تحت اسم K2PS.EXE حيث تقول رسالة هذا البريد الذي قد يصل إلى أي شخص أن هناك فيروس اسمه TX-500 وأنه هو برنامج مضاد لهذا الفيروس. طبعا كما تعرف هذه كانت مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الإنترنت بالإضافة إلى كلمة السر الخاصة بك ثم التحكم به وبالبريد الإلكتروني لك. وأيضا يمكنه تغيير كلمة السر الخاصة بك. والطريقة المفضلة إذا أحسست بهذا التغير قم مباشرة بتغير كلمة السر :ثم قم بإلغاء الملفات التالية K2PS.EXE K2PS.CFG قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب Regedit :ثم أذهب إلى القيمة التالية وقم بمسحها HKEY_LOCAL_MACHINE\Software\Microsoft\Window\Curre ntVersion\C:\WINDOWS\SYSTEM\K2PS.EXE ------------------------------------------- Paradise : وهو أقوى من برنامج Back Orifice ويحتاج أيضا إلى خادم يسمى agent.exe ويستطيع إلغاء ملفات وإنشائهم ويستطيع فتح وغلق النوافذ على جهازك ويستطيع عمل محادثة معك chatting ويستطيع عمل أشياء أخرى. كيفية التخلص منة : يمكنك التخلص منة باستخدام البرنامج The cleaner وسوف تجد هذا البرنامج في الموقع التالي : http://www.dynamsol.com/puppet/thecleaner.html ----------------------------------------------------- PrettyPrk : هذا البرنامج يستطيع الانتشار أيضا عن طريق البريد الإلكتروني. فعند تنفيذه سوف يقوم بإرسال نفسه إلى العناوين الموجودة في windows address book وسوف يخبر المستخدمين الموجودين على IRC عند إعدادات النظام وكلمات السر. وسوف يقوم بنسخ نفسه داخل المجلد التالي C:\Windows\System مع الملف files32.VXD أيضا سوف يقوم بتسجيل نفسه داخل القيمة التالية في سجل الويندوز HKEY_CLASSES_ROOT \exefile\shell\open\command\files32.vxd فقط قم بإلغائها بالذهاب إلى أبدأ ثم تشغيل ثم أكتب Rededit --------------------------------------------- ProMail : انتشر كثيرا هذا البرنامج بطريقة freeware و shareware وقد انتشر تحت هذا الاسم proml121.zip وهو ملف غير مضغوط داخل هذا الملف promail.exe فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة. :كيفية التخلص منة إذا كان لديك هذا البرنامج Promail قم مباشرة بإلغائه -------------------------------------------------- Sockets : وهذا البرنامج خطير جدا وهو تقريبا فيروس. وهو لا يقوم فقط بتحميل خادم له ولكنة يصيب عددا من الملفات المنتهية بالأحرف exe وله نفس خصائص البرامج الأخرى التي تعمل معالبريد الألكتروني والأيسكيو كيفية التخلص منة : باستخدام البرنامج Anti Troie :وهو برنامج جيد للقضاء علية وسوف تجده في الموقع التالي software » blog do chester ------------------------------------------------- ZipFile : وهو أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي . وهو يستطيع نشر نفسه بنفسه باستخدام البريد الألكتروني :فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help. وعندما يتمكن من نشر نفسه باستخدام البريد الألكتروني فانه يقوم بإرسال نفسه مرة أخرى تحت اسم Zipped_files.exe : إلى جميع العناوين التي استقبلت منهم رسائل سابقة مرفق به هذه الرسالة Hi, username received your email and I shall send you a reply ASAP. Till then, take a look at this attached zip docs Bye :أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية DOC XLS PPt C CPP H وللأسف فأنة صعب جدا إن تستعيد تلك الملفات باستخدام الأمر undelete :الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي worm.explore.zip win32.explore explore.zip :طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98 :قم بالضغط على CTRL ALT DEL :وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي Zipped_files Explore _setup ويجب أن تفرق بين اسم الملف السابق Explore وبين المتصفح Explorer :فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية C:\windows\_setup.exe C:\windows\Explore.exe بعد ذلك قم بإلغاء الأسطر التالية والموجودة في WIN.INI باستخدام الأمر Sysedit :بعد الذهاب إلى أبدأ ثم تشغيل والأسطر هي run=setup.exe run=c:\windows\system\explore.exe أيضا قم بإلغاء السطر التالي باستخدام الأمر regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Windows\Run
•¯ βŁ∂¢қ $¢ЯPιΘИ ¯•™
كل الإحترام والتقدير لك أخي على الموضوع الرائع والمميز ، وفقك الله وبانتظار المزيد من إبداعاتك تحياتي لك
I love Yemen
افى ما في ردود بس مشكوووور على هالمجهووود انتظر جديدك
ثانكس ياغالي بس يااخواني ابغاكم في المسنج ممكن دا ايميلي امانه ثمى امانه ضيفوني
merciiiiiiiiiiiiiiiiiiiiiiii
مشكوؤؤؤؤررررررررررررررررر رررررررررررررر
تسلم اخوي و دائما نحو الافضل
مشكوووووووووووووووور اخي الكريم يعطيك الف الف عافيه
شكرا على الموضوع
قوانين المنتدى