الدرس الثالث من كيف تحمي نفسك من التجسس (دروس خاصة )

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

Sub 7
البرنامج المفضل لدى شباب السعودية والأمارات والدول العربيه للتجسس، ما أدري ليش، السوب سفن أو (الباكدور جي) يتميز بمخادعة الشخص الذي يحاول إزالته، فهو يعيد تركيب نفسه تلقائيا بعد حذفه من الريجستري والويندوز، مع العلم بأن النورتون الذي لدي لم يكتشف السيرفر حقه، حتى مع عمل أبديت بشكل أسبوعي؟؟؟

برنامج السب سيفين أو (الباكدور جي) هو من أكثر البرامج التي يستخدمها الهاكرز الآن، بعد أن كانوا يستخدمون النيت بص، فأنا مثلاً أًسجل على الأقل ستة محاولات للدخول على جهازي يومياً بأستخدام السوب سيفين، أنصحكم بقراءة هذه الصفحة بتأني لأن السيرفر حق السوب سيفين خطير والنورتون لايستطيع أكتشاف وجوده ويتميز بالخداع أثناء محاولة إزالته. يقوم السوب سيفين بأنشاء القيم التالية داخل الريجستري:

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl

HKEY_LOCAL_MACHINE\Software\Microsoft\DirectXMedia

KERNEL16="KERNEL16.DL"

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile" يقوم أيضاَ بأنشاء الملفات التالية:

في مجلد السيستم الموجود في مجلد الويندوز ينشئ ملف أسمه rundll16.exe أو KERNEL.dl حجمه حوالي 35 كيلو بايت. كما ينشئ أيضاً في نفس المجلد ملف أسمه MOVOKH_32.dll حجمه أيضاً 35 كيلوبايت.

وينشئ أيضاً ملفان في نفس المجلد هما nodll.exe و watching.dll حجمهما أيضاً 35 كيلوبايت.

مع العلم أنه يمكن تغيير أسماء بعض هذه الملفات من قبل الهاكرز. المنافذ التي يستخدمها السوب سفن:

يستخدم السوب سيفين البورت رقم 6711 و 6776، هناك بورتات أخرى هي 1243 و 1999، وقد سمعت من أحد الأشخاص طريقة لاكن لا أتذكرها يقول بأنه يمكن تغيير أحد هذه البورتات وأستخدام بورت سري موجود بين 1243 و 1999 يحدده المستخدم بعدما يقوم المخترق بوضع السيرفر في جهازك يقوم السيرفر بإدخال تغييرات على ملف System.ini وبالتحديد في السطر الخامس حيث يقوم بإضافة أسمه بعد عبارة Explorer.exe ليصبح السطر بعد التغيير shell=Explorer.exe rundll16.exe كما يقوم بعمل تغيير في ملف Win.ini وذلك في الأسطر الأولى تحديداً في القيم التي توضع أمامها البرامج المراد تشغيلها أثناء تشغيل الويندوز مثل Load= ####.exe أو run=####.exe التخلص من السوب سيفين: من أهم أعراض الأصابة ببرنامج السوب سيفين هو ظهور رسالة (قام هاذا البرنامج بإنجاز عملية غير شرعية.... ) وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك الماوس أو النقر على الكيبورد حيث يقوم البرنامج بعمل تغييرات في برنامج سكرين سيفر، وتظهر هذه الرسائل عادةً عندما تقوم بأزالة أدخالات السوب سيفين في ملف system.ini

بإمكان السيرفر حق السوب سيفين أيضاً أعادة أنشاء نفسه بعد حذفه من الويندوز بأستخدام بعض الملفات المساعدة. بما أن السوب سيفين يمكن عمل تعديلات على السيرفر حقه بإستخدام برنامج الأيديت الملحق به، فإنه من الواجب البحث في أي مكان من الممكن أن يعمل تلقائيا، يعني أي مكان يمكن وضع أوامر للويندوز لتشغيله تلقائيا. أولاً أفتح الملف win.ini والملف system.ini الموجودان في مجلد الويندوز . في ملف الـwin.ini أبحث في بداية السطور الأولك من هاذا الملف عن أي قيم شبيهة بالقيم التالية:

run= xxxx.exe أو run= xxxx.dl أو Load= xxx.exe أو Load= xxxx.dll

xxx تعني أسم السيرفر.

إذا عثرت على قيمة خاصة بالسيرفر فقم بحذفها. في ملف الـ system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر shell=Explorer.exe إذا كان جهازك مصاباً بالسوب سيفين ستجد شكل السطر هكذا: shell=Explorer.exe xxx.exe أو shell=Explorer.exe xxx.dll

مع العلم بأن xxx أسم السيرفر الذي من أشهر اسمائه rundll16.exe و Task_Bar.exe إذا كان كذلك قم بمسح أسم السيرفر فقط يعني إذا كان مثلاً shell=Explorer.exe rundll.exe قم بمسح rundll.exe ليصبح شكل السطر shell=Explorer.exe

بعد ذلك شغل برنامج الريجستري بالذهاب إلى أبدء ثم تشغيل ثم كتابة regedit ثم النقر على (أوكي) وأذب إلى المجلدات التالية:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run

داخل المجلد (رن) أبحث عن أسم السيرفر الذي عثرت عليه في ملف system.ini أو الملف win.ini (في بعض الحالات قد يتغير أسم السيرفر في الريجستري لذلك أبحث عن أي شئ غريب) ثم بعد ذلك توجه لمجلد ويندوز وستجد أن حجم السيرفر الذي عثرت عليه بالريجستري حوالي 328 كيلوبايت ، إذا كان كذلك عد لنفس المنطقة في الريجستري وقم بحذف القيمة وذلك بانقر على أسمها وأختيار (ديليت). الآن أعد تشغيل الكمبيوتر، ثم توجه لمجلد الويندوز وقم بحذف السيرفر بالنقر عليه بالزر الأيمن للماوس وأختيار حذف (ديليت).

أتمنى أن تطبقوا الخطوات السابقة بدقة، وأن لاتحذفوا أو تعدلوا أي شئ في الريجستري مالم يكن مطابقاً لما جاء في الأعلاى.

الجزء الثاني

(3)
NetSphere 1.31 Final

النيت سفير هو واحد من أفضل برامج التجسس الموجودة على الأنترنت، يتميز السيرفر الخاص به بمزايا تجعله أفضل من النيت بص فهو مكتوب بلغة ديلفي4، ولم يكن النورتون أنتي فايرس يستطيع أكتشاف السيرفر الخاص به إلا قبل فترة قريبه

Net Sphere النيت سبير يعمل على الويندوز98 وال95 والNT .

السيرفر حقه حجمه 640 كيلو بايت ومكتوب بلغة ديلفي4 ، وأسم السيرفر nssx.exe ويمكن العثور عليه بمجلد السيستم الموجود بمجلد الويندوز. البورت الذي يستخدمه للتخاطب مع السايلنت هو البورت رقم 30100 و 30101 و 30102 و 30103

بعض مميزات النيت سفير:

* أولاً يقوم بأرسال المعلومات التالية عنك: نوع نظام التشغيل ورقم أصدارته، أسم صاحب الكمبيوتر المسجل في الريجستري، أسم الشركة التي تعمل بها والمسجلة بالريجستري، موقع مجلد الويندوز، أسم المعرف وكلمة السر الخاصة بدخول الأنترنت، نوع وسرعة البروسسر في جهازك، العنوان والمدينة والدولة ورقم التلفون وذلك إذا كانت مخزنة بالريجستري أو برامج البريد الأليكتروني، حجم الرام.

* أغلاق وفتح الشاشة لديك (إذا كانت تدعم توفير الطاقة)، وتغيير درجة الوضوح وتغيير عمق اللون بها.

* عمل بعض الأشياء بـ ال ICQ إذا كنت تستخدمه مثل إضافتك إلى اللست حقته أو إضافة العناويين الموجودة به إلى اللست الخاصة به.

* أخذ صورة لصطح المكتب الخاص بجهازك.

* عمل بعض التغييرات في إعدادات الماوس.

* خواص كثيرة أخرى مثل معرفة البرامج التي تعمل في الزمن الحقيقي وأمكانية أغلاقها، تسجيل الأصوات في غرفتك إذا كان لديك مايكروفون في جهازك، إرسال رسالة يمكن الرد عليها مباشرةً، أغلاق وتشغيل الكمبيوتر (عمل ريستارت وأيقاف تشغيل)، تتميز عملية السكننق فيه بالسرعة نسبة للنيت باص، بالأضافة إلى الحصول على التعليمات من شركة نيت سبير عند طلبك ذلك (أون لآين هيلب).

* وطبعاً جميع الوظائف التي تؤديها برامج التجسس مثل جلب (سرقة) وإرسال الملفات من جهازك لجهاز الهاكر.

كيفية التخلص من سيرفر النيت سبير:

* شغل برنامج الريجستري وذلك بالذهاب إلى (إبدء) ثم Run ثم كتابة regedit في المربع والنقر على (أوكي).

* توجه للمجلدات التالية بالضغط على علامة ال+ من أمام كل مجلد

HKEY_LOCAL_MACHINE+ Software+ Microsoft+ Windows+ CurrentVersion+ Run

في المجلد Run أنظر في الجهة اليمنى وأبحث عن NNSX إذا عثرت عليها ستجد أمامها C:\Windows\System\nnsx.exe وهو الأمر الذي يقوم بتشغيل السيرفر حق النيت سبير في كل مرة يتم فيها تشغيل الويندوز، ضع الماوس على NNSX وأنفر بالزر الأيمن وأختر (ديليت)

* أقفل برنامج الريجستري وأعد تشغيل الكمبيوتر في وضع الدوس ثم توجه للمجلد System وذلك بكتابة

الأمر CD WINDOWS\SYSTEM ثم أضغط على Enter في لوحة المفاتيح (الكي بورد) .

* بعد أن ذهبت للمجلد سيستم أكتب الأمر التالي لحذف السيرفر المسمى NNSX أمر الحذف هو Del nssx.exe وأضغط Enter . * أعد تشغيل الكمبيوتر وذلك بالنقر على الأزرار Ctrl + Alt + Delet

وبذلك تكون قد تخلصت من السيرفر حق النيت سبير

...............

الجزء الثالث

COOKIES

الكوكز :

تستخدم معظم المواقع نظام او برتكوول الكوكز .. والفائده منه هو فى الحقيقه تسريع الدخول الى المواقع .. ولاكن السبب الرئيسى فى وجوده هو الغايه التجاريه .. فبهذا النظام تستطيع المواقع اخذ بعض البيانات الخاصه مثل .. كم مره زرت بها الموقع .. ما نوع الجهاز المستخدم … بعض البرامج الموجوده فى جهازك .. وتقم تلك المواقع بارسال ملف صغير الى الهارد دسك عن طريق استخدام الكوكز .

والان لا باس فى الكوكز طالما انك تتجول فى مواقع معروفه ومشهوره .. ولاكن يفضل ابطال فعلها او الطلب باخذ الاذن منك قبل استقبال او ارسال اى معلومات .. فمثلا تود زياره مواقع الهاكرز او اى مواقع غير معروفه .. ما عليك سوى اما ابطال مفعول الكوكز او طجلب اخذ الاذن منك .. اذا كنت من مستخدمى اكسبلور 4 .. فاتجه الى : Internet option ومنها اختار الامر : Advance وابحث عن الكوكز … سوف تجد تحت الكوكز ثلاث اوامر الاول القبول المباشر .. والثانى طلب الاذن منك .. والثالث ابطال الكوكز .. فاختر ما تحب …

اما اذا كنت من مستخدمى اكسبلور 5 .. فلا اختلاف كبير الا ان الكوكز نقلت الى :

Security ومنها تجد الامر : Custom Level ومنها سوف تجد الكوكز فاختر ما تحب …

Master Paradise

تعريـف : يعتبر هذا البرنامج سيد برامج الاختراق … ويختى ايضا فى الريجسترى

التخلص منه :

اتجه للرجسترى ثم ابحث عن امتداد الملف و قم بمسحه .

“C:\windowds\nameofthe.exe

Net Bus 2000

تعريف : برنامج النت باص 2000 يستخدم السيرفر العادى وهو : server.exe ولاكن يمكن تغير الاسم … وهو يسجل نفسه ولاكن غفى منطقه اخرى فى اليجسترى ..

التخلص منه :

للتخلص من البرنامج قم بالبحث عن الملف ولاكن بدلا من : HKEY_LOCAL_MACHIN اتجــه الــى : HKEY_LOCAL_USERS

ثم ابحث عن :

HKEY_LOCAL_USER\SOFTWARE\MICROSOFTE\WINDOWS\CURREN T VERSION\RUN SERVICES\Key:UMG32.EXE

الكلمه التى تحتها خط هى الخادم للبرنامج او السيرفر .. ان وجدتها قم باطفاء الجهاز واعاده تشغيله فى وضع اليسف مود ( Safe Mode) ثم تخلص من الملف واعد تشغيل الجهاز..

ICQ Torjan

تعريف : يقم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقم الملف بتغير الاسكيو الحقيقى لديك ICQ.exe وابعاده وتغير اسمه ليصبح ICQ2.EXE ….

التخلص منه :

يمكن التخلص من الملف بكل سهوله ..اتجه الى الملف الخاص بالاسكيو وقم بحف ملف الاسكيو

ICQ.EXE ثم قم بتعديل اسم الاسكيو الحقيقى .. ICQ2.EXE الى ICQ.EXE

وارجو تقيم الموضوع اذا عجبكم واستفدتم منه

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

» هام جدا لكل عضو وعضوة كيف تحمي نفسك (دروس خاصة )
» هل تريد ان تحمي نفسك واسرتك من الحشرات
» هل تريد ان تحمي نفسك واسرتك من الحشرات
» تعلم كيف تحمي جهازك من الاختراق .. خطوة بخطوة
» الدرس الثالث رسم باترون التنورة البسيطة

الدرس الثالث من كيف تحمي نفسك من التجسس (دروس خاصة )

الدرس الثالث من كيف تحمي نفسك من التجسس (دروس خاصة )

مواضيع مماثلة

مواضيع مماثلة