brader
03-26-2013, 04:10 AM
http://im30.gulfup.com/2012-06-29/1340966868422.png
http://im30.gulfup.com/2012-06-29/1340966868241.png
الْحَمْدُ لِلِهُ الَّذِي خَلَّصَ قَلُوبُ عُبَّادِهِ
المتقين مِنْ ظُلْمِ الشَّهَوَاتِ وَأَخْلُصُ عُقُولَهُمْ عَنْ ظُلَمِ الشُّبْهَاتِ أَحَمْدَهُ
حَمْدِ مِنْ رَأَى آيات قُدْرَتَهُ الْباهِرَةِ وَبَراهينَ عَظْمَتِهِ الْقَاهِرَةِ
وَأَشْكُرُهُ شُكْرَ مِنْ اِعْتَرَفَ بِمُجِدِّهِ وَكَمَالَهُ وَاِغْتَرَفَ مِنْ بَحْرِ
جُودِهِ وَأَفْضَالَهُ وَأَشْهَدُ أَنْ لَا إلَهَ إلّا اللهَ فَاِطْرَ الأرضين وَالسَّمَاواتَ
شَهَادَةَ تُقَوِّدُ قَائِلُهَا إِلَى الْجَنَّاتِ وَأَشْهَدُ أَنْ سَيِّدَنَا مُحَمَّدَا عَبْدِهِ وَرَسُولَهُ
وَحَبيبَهُ وَخَلِيلَهُ وَالْمَبْعُوثَ إِلَى كَافَّةٍ الْبَرِّيَّاتِ بالآيات الْمُعْجِزَاتِ وَالْمَنْعُوتِ
بِأشرفِ الْخِلاَلِ الزّاكِيَاتِ صَلَّى اللَّهُ عَلَيه وَعَلَى آله الْأئِمَّةَ الْهُدَاةَ وَأَصْحَابَهُ
وَالصَّلاَةِ وَالسّلامِ عَلَى النَّبِيِّ الْمُصْطَفى وَالرَّسُولِ المجتبى الْمَبْعُوثَ
رَحْمَةَ لِلْعَالِمِينَ وَقُدْوَةَ لِلْمَالِكِينَ وَعَلَى آله وَصَحِبَهُ وَمِنْ تَبِعَهُمْ
بِإحْسَانِ إِلَى يَوْمِ الدِّينِ
http://www9.0zz0.com/2012/10/13/11/212266129.jpg (http://www.0zz0.com)
http://im30.gulfup.com/2012-06-29/1340966868241.png
أولا قبل الدخول في الموضوع أريد توضيح بعض الأمور
فبعد تنصيبك لبرنامج الحماية (اخر إصدار مع التحديثات)
و فايروال
و غيرها من برامج الحماية
أنت غير محمي
ويمكن اختراقك بدون أتشعر
-------
نعم أخي فهذه البرامج تبقى برامج في الأخير
و يمكن تجاوزها
http://im30.gulfup.com/2012-06-29/1340966868241.png
ندخل في الموضوع
سنتحذث عن الترجنات
باختصار هي برامج تمت برمجتها لتعمل في الخفاء بدون أن تشعر
هذف مصممها هو التجسس عليك
بحيث تمكن المهاجم من فعل و أخد كل مايريد
(فتح الوبكام - صرقة ملفاتك أو وضع ملفات أو مسحها - تنصيب أو إزالت برامج -
أخد كل ماتكتب في الكايبرد لوحة المفاتيح يعني أخد باسورداتك ...........
وغيرها طبعا بدون أن تشعر)
كأنه جالس هو في الحاسوب
و يمكن لأي شخص ليسا ضروريا أن يكون له معرفة كبيرة في المجال
أن يصنع ترجان ويخترق
(أصدقائه أولا هههههه يريد فقط اللعب لاغير لا تفهموه غلط ههههه)
وبذالك أصبح الإختراق يمكن أن نقول أداة أو لعبة
يلعب بها بعض الأطفال
أو متمرسين في المجال
http://im30.gulfup.com/2012-06-29/1340966868241.png
هذف الموضوع هو
الكشف عن أكثر برامج الإختراق المتواجدة
في السوق انتشارا
و
كما يشير العنوان
الكشف عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat
لقد قمت بتحليل هده الترجنات
و استنتجت بعض خصائصها
يعني لو جهازك فيه سرف من هده السرفات
هذه السرفات تترك اثرأو مخلفات تشير إليها
و في بعض الأحيان تشير إلى مسارها
سأشرح لكم طريقة البحث عنها
http://im30.gulfup.com/2012-06-29/1340966868241.png
سنبدأ بالمفضل لدي
DARK Comet
http://zeeshanikram.files.wordpress.com/2012/10/darkcomet-rat-legacy-v5-4-1-legacy.png
أولا إفتح
run
وكتب %appdata%
http://www.help.clarosoftwaredownloads.com/help_files/images/EnterAppDataIntoRun.png
اضغط ok
سيضهر لك مجلد مثل الصورة
إذا وجدت مجلد إسمه dclogs
فاعلم أنك مصاب بسرف Dark comet
هذا المجلد يحتوي على ملفات الكيلوغر أي كل ماكتبته
مخزن في ملف ذو امتداد .dc
http://img11.hostingpics.net/pics/858015darck.png
http://im30.gulfup.com/2012-06-29/1340966868241.png
التاني و هو جديد و منتشر بكثرة و مبرمج بأيادي عربية
Nj Rat
---------
ابق في نفس المجلد
و هذه المرة إبحث عن ملفات ذات امتداد
exe.tmp.
ثم أدخل إلى مجلد بدأ التشغيل
dossier de démarrage
في وندوز 7
http://assistance.orange.fr/Image/1471_demarrage02.jpg
في xp
Démarrer > Tous les programmes > Démarrage
إذا وجدت برنامج اسمه هكذا
45ca55fc1756e880072f0dde4455397b.exe
اسم طويل به أرقام و حروف
فإنك مصاب بسرف nj
http://im30.gulfup.com/2012-06-29/1340966868241.png
3 spy-net
ندهب لمجلد الملفات المؤقتة
http://techinfolite.com/wp-content/uploads/2012/04/clean-temp-files-run-application.jpg
ثم ابحث عن ملف ذو امتداد .xXx
أو ملف اسمه XX--XX--XX.txt
اذا وجدته فأنت مصاب
http://im30.gulfup.com/2012-06-29/1340966868241.png
4- bifrost
وهو من أقدم المحاربين (ههه كان يستعمله جدى في التجسس على المستعمر الفرنسي)
إفتح الرجستر
http://www.spywareremove.com/images/2010/run-regedit.png
و ادهب إلى هذا المسار
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
http://img15.hostingpics.net/pics/565440bif.png
حتى تجد مفتاح اسمه
StubPath =C:\Program Files\Bifrost\server.exe s
ما باللون الأحمر يمكن أن يتغير تلك s في الأخير ضرورية
إذا وجدته ادخل لذالك المسار و حذفه
و أعد تشغيل الحاسوب
http://im30.gulfup.com/2012-06-29/1340966868241.png
XtremeRAT 5-
ادخل
http://www.help.clarosoftwaredownloads.com/help_files/images/EnterAppDataIntoRun.png
و ابحث عن مجلد
\Microsoft\Windows\
ستجد به ملفات ذات امتداد .dat
فإنك مصاب
فقم بحذفها
http://im30.gulfup.com/2012-06-29/1340966868241.png
http://im30.gulfup.com/2012-06-29/1340966868241.png
الْحَمْدُ لِلِهُ الَّذِي خَلَّصَ قَلُوبُ عُبَّادِهِ
المتقين مِنْ ظُلْمِ الشَّهَوَاتِ وَأَخْلُصُ عُقُولَهُمْ عَنْ ظُلَمِ الشُّبْهَاتِ أَحَمْدَهُ
حَمْدِ مِنْ رَأَى آيات قُدْرَتَهُ الْباهِرَةِ وَبَراهينَ عَظْمَتِهِ الْقَاهِرَةِ
وَأَشْكُرُهُ شُكْرَ مِنْ اِعْتَرَفَ بِمُجِدِّهِ وَكَمَالَهُ وَاِغْتَرَفَ مِنْ بَحْرِ
جُودِهِ وَأَفْضَالَهُ وَأَشْهَدُ أَنْ لَا إلَهَ إلّا اللهَ فَاِطْرَ الأرضين وَالسَّمَاواتَ
شَهَادَةَ تُقَوِّدُ قَائِلُهَا إِلَى الْجَنَّاتِ وَأَشْهَدُ أَنْ سَيِّدَنَا مُحَمَّدَا عَبْدِهِ وَرَسُولَهُ
وَحَبيبَهُ وَخَلِيلَهُ وَالْمَبْعُوثَ إِلَى كَافَّةٍ الْبَرِّيَّاتِ بالآيات الْمُعْجِزَاتِ وَالْمَنْعُوتِ
بِأشرفِ الْخِلاَلِ الزّاكِيَاتِ صَلَّى اللَّهُ عَلَيه وَعَلَى آله الْأئِمَّةَ الْهُدَاةَ وَأَصْحَابَهُ
وَالصَّلاَةِ وَالسّلامِ عَلَى النَّبِيِّ الْمُصْطَفى وَالرَّسُولِ المجتبى الْمَبْعُوثَ
رَحْمَةَ لِلْعَالِمِينَ وَقُدْوَةَ لِلْمَالِكِينَ وَعَلَى آله وَصَحِبَهُ وَمِنْ تَبِعَهُمْ
بِإحْسَانِ إِلَى يَوْمِ الدِّينِ
http://www9.0zz0.com/2012/10/13/11/212266129.jpg (http://www.0zz0.com)
http://im30.gulfup.com/2012-06-29/1340966868241.png
أولا قبل الدخول في الموضوع أريد توضيح بعض الأمور
فبعد تنصيبك لبرنامج الحماية (اخر إصدار مع التحديثات)
و فايروال
و غيرها من برامج الحماية
أنت غير محمي
ويمكن اختراقك بدون أتشعر
-------
نعم أخي فهذه البرامج تبقى برامج في الأخير
و يمكن تجاوزها
http://im30.gulfup.com/2012-06-29/1340966868241.png
ندخل في الموضوع
سنتحذث عن الترجنات
باختصار هي برامج تمت برمجتها لتعمل في الخفاء بدون أن تشعر
هذف مصممها هو التجسس عليك
بحيث تمكن المهاجم من فعل و أخد كل مايريد
(فتح الوبكام - صرقة ملفاتك أو وضع ملفات أو مسحها - تنصيب أو إزالت برامج -
أخد كل ماتكتب في الكايبرد لوحة المفاتيح يعني أخد باسورداتك ...........
وغيرها طبعا بدون أن تشعر)
كأنه جالس هو في الحاسوب
و يمكن لأي شخص ليسا ضروريا أن يكون له معرفة كبيرة في المجال
أن يصنع ترجان ويخترق
(أصدقائه أولا هههههه يريد فقط اللعب لاغير لا تفهموه غلط ههههه)
وبذالك أصبح الإختراق يمكن أن نقول أداة أو لعبة
يلعب بها بعض الأطفال
أو متمرسين في المجال
http://im30.gulfup.com/2012-06-29/1340966868241.png
هذف الموضوع هو
الكشف عن أكثر برامج الإختراق المتواجدة
في السوق انتشارا
و
كما يشير العنوان
الكشف عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat
لقد قمت بتحليل هده الترجنات
و استنتجت بعض خصائصها
يعني لو جهازك فيه سرف من هده السرفات
هذه السرفات تترك اثرأو مخلفات تشير إليها
و في بعض الأحيان تشير إلى مسارها
سأشرح لكم طريقة البحث عنها
http://im30.gulfup.com/2012-06-29/1340966868241.png
سنبدأ بالمفضل لدي
DARK Comet
http://zeeshanikram.files.wordpress.com/2012/10/darkcomet-rat-legacy-v5-4-1-legacy.png
أولا إفتح
run
وكتب %appdata%
http://www.help.clarosoftwaredownloads.com/help_files/images/EnterAppDataIntoRun.png
اضغط ok
سيضهر لك مجلد مثل الصورة
إذا وجدت مجلد إسمه dclogs
فاعلم أنك مصاب بسرف Dark comet
هذا المجلد يحتوي على ملفات الكيلوغر أي كل ماكتبته
مخزن في ملف ذو امتداد .dc
http://img11.hostingpics.net/pics/858015darck.png
http://im30.gulfup.com/2012-06-29/1340966868241.png
التاني و هو جديد و منتشر بكثرة و مبرمج بأيادي عربية
Nj Rat
---------
ابق في نفس المجلد
و هذه المرة إبحث عن ملفات ذات امتداد
exe.tmp.
ثم أدخل إلى مجلد بدأ التشغيل
dossier de démarrage
في وندوز 7
http://assistance.orange.fr/Image/1471_demarrage02.jpg
في xp
Démarrer > Tous les programmes > Démarrage
إذا وجدت برنامج اسمه هكذا
45ca55fc1756e880072f0dde4455397b.exe
اسم طويل به أرقام و حروف
فإنك مصاب بسرف nj
http://im30.gulfup.com/2012-06-29/1340966868241.png
3 spy-net
ندهب لمجلد الملفات المؤقتة
http://techinfolite.com/wp-content/uploads/2012/04/clean-temp-files-run-application.jpg
ثم ابحث عن ملف ذو امتداد .xXx
أو ملف اسمه XX--XX--XX.txt
اذا وجدته فأنت مصاب
http://im30.gulfup.com/2012-06-29/1340966868241.png
4- bifrost
وهو من أقدم المحاربين (ههه كان يستعمله جدى في التجسس على المستعمر الفرنسي)
إفتح الرجستر
http://www.spywareremove.com/images/2010/run-regedit.png
و ادهب إلى هذا المسار
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
http://img15.hostingpics.net/pics/565440bif.png
حتى تجد مفتاح اسمه
StubPath =C:\Program Files\Bifrost\server.exe s
ما باللون الأحمر يمكن أن يتغير تلك s في الأخير ضرورية
إذا وجدته ادخل لذالك المسار و حذفه
و أعد تشغيل الحاسوب
http://im30.gulfup.com/2012-06-29/1340966868241.png
XtremeRAT 5-
ادخل
http://www.help.clarosoftwaredownloads.com/help_files/images/EnterAppDataIntoRun.png
و ابحث عن مجلد
\Microsoft\Windows\
ستجد به ملفات ذات امتداد .dat
فإنك مصاب
فقم بحذفها
http://im30.gulfup.com/2012-06-29/1340966868241.png