زهـرة الـوادي
15-01-2003, 11:52 PM
هاااااااااااااااااي
اكثركم وصله هذا الفايروس واللي سوا لنا قلق عن طريق الايميل والكثير انغش فيه وحمله على جهازه .. لانه كان يوصلك عن طريق اسم شخص تعرفه .. وهذا ما ميز هذا الفايروس بانه ذكي جدا واللي شغالين عليه اذكياء لان بعد ما يصاب جهازك بالفايروس يقوم بعدها بارسال نفسه الى جميع الاعضاء الموجودين في قائمة مسينجر الهوتميل او الياهو وايضا المحفوظين في قائمة الادريس بوك في الاوت لوك ( دفتر العنواين ) ..
ويقوم بصايغة رسائل مختلفة ... مثلا شف البرنامج هذا جديد حمله الان ... لا تفوتك هذي اللعبه شفها بسرعة حملها .. واحيانا قام صديقك بارسالك لك هذا الكارد ( كرت ) قم بتحمليه الان .. الخ من الرسائل ..
والمشكله او الطامه الكبرى ان اغلب شركات الايميل ما وجدت له حل واللي واللي ماتدري عنه !! اكبر مثال الشركه الداجه مكافي اللي تسوي سكان وتفحص على اي ملف يدخل الهوتميل !!!...
اسم الفايروس ونوعه : W32.Yaha.K@mm ياماها .. وهو نسخه معدله من الفيروس W32.Yaha.@mm وهو من نوع worm الدوده ..
- امتداد الفايروس : ينتهي بعلامات scr. و exe. وcom.
- حجم الفايروس: تقريبا بين 45 - 47 ك
- عمله وتأثيرة : يقوم هذا الفايروس بوقف عمل الانتي فايروس والجدار الناري ثم ينشر نفسه عبر البريد حيث ينشئ سيرفر بريد خاص به وينشر نفسه في الايميلات في دفتر العناوين و ميكروسوفت ماسنجر و الياهو مسنجر وجميع الملفات التي ينتهي امتدادها بHTML
ويقوم بتعطيل تشغيل بعض البرامج ايضا بجعل الملفات مخفيه ( ملفات الوورد .. إكسل .. بورباوينت .. صور .. ريال بلاير ... الخ ) .
1) عند تشغيل فيروس ياماها يقوم اول شي بنسخ نفسه في في ملفات مخفية داخل مجلد السيستيم في الويندوز بهذه الاسماء والامكان :
* لـ ويندوز ME : داخل مجلد .. C:\Windows\System
* لـ ويندوز XP / 98 /95 : داخل مجلد .. C:\Windows\System32
بالاسماء التاليه :
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
2) بعدها يعمل هذي الملفات داخل مجلد النظام وتكون ثابته :
WinServices.exe
Nav32_loader.exe
Tcpsvs32.exe
3) يقوم بعمل صيغة وقانون في الرجستري بالقيمة التالية :
WinServices.exe C:\%System%\WinServices.exe
وفي الرجستري في هذه المواقع :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
وبكذا يقوم الفيروس بتشغيل نفسه كل ما تشغل الجهاز الكمبيوتر .
4) يقوم الفيروس باعداد نفسه ليقوم بتشغيل نفسه كل مرة على اساس انه ملف تطبيقي وذلك بتغير قيمته الخاصة في الرجستري:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command
الى
C:\%System%\WinServices.exe"%1 %*
5) يقوم الفيروس باغلاق ملفات وبرامج مكافحة الفيروسات والحماية والأدوات الوقائية للجهاز (Firewalls) ... وذلك بعمل قانون لها يمنعها من ايقاف اي ملف يحمل اي من الاسماء التالية :
REGEDIT
ACKWIN32
F-AGNT95
SWEEP95
VET95
N32SCANW
_AVPM
LOCKDOWNADVANCED
NSPLUGIN
NSCHEDNT
NRESQ32
NPSSVC
NOD32
_AVPCC
_AVP32
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
TDS2-98
SCAN32
PCFWALLICON
NSCHED32
IAMSERV.EXE
FRW.EXE
MCAFEE
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
RMVTRJANSAFEWEB
WEBSCANX
PVIEW
ANTIVIR
- آليه طريقة ارسال الفايروس :
يقوم الفيروس باستخدام ملقمات البريد الوارد والصادر الخاصة به وذلك ليقوم بارسال نفسه لكل ايميل موجود في ملف الايميلات بنظام التشغيل وندوز او في المسنجر هوت ميل والياهو بيجر وكل الملفات التي تحمل في الاكستنشن الحرفين اتش وتي ويحمل الفيروس اكثر من ملقم بريد وارد وصادر يمكنه استخدامها .. وذلك ببرمجة عبقرية تم بها صنع هذا الفيروس.
- عنوان رسالة الفايروس عادة تكون بالعناوين التاليه :
Are you the BEST
Free Win32 API source
Learn SQL 4 Free
I Love You..
Wanna be like a stone ?
Are you a Soccer Fan ?
Sexy Screensavers 4 U
Check it out
Sample Playboy
Hardcore Screensavers 4 U
XXX Screensavers 4 U
We want peace
Wanna be a HE-MAN
Visit us
One Virus Writer's Story
One Hacker's Love
World Tour
Whats up
Wanna be my sweetheart ??
Screensavers from Club Jenna
Jenna 4 U
Free rAVs Screensavers
Feel the fragrance of Love
Wanna Hack ??
Sample KOF 2002
The King of KOF
Wanna Brawl ??
Wanna Rumble ??
Play KOF 2002 4 Free
Demo KOF 2002
Free Demo Game
Wanna be friends ??
Need money ??
Are you beautiful
Who is your Valentine
Free Screenavers of Love
Free XXX
Free Screensavers
WWE Screensavers
Freak Out
Wanna be friends ?
Things to note
Lovers Corner
Patch for Elkern.gen
Patch for Klez.H
Free Screensavers 4 U
Project
Sample Screensavers
Are you in Love
I am in Love
I Love You
You are so sweet
The Hotmail Hack
U realy Want this
to ur lovers
to ur friends
Find a good friend
Learn How To Love
Are you looking for Love
Wowwwwwwwwwww check it
Check ur friends Circle
The world of Friendship
Shake it baby
How sweet this Screen saver
war Againest Loneliness
Need a friend?
Say 'I Like You' To ur friend
love speaks from the heart
Let's Dance and forget pains
Looking for Friendship
True Love
make ur friend happy
Who is ur Best Friend
hey check it yaar
Check this shit
Hello
Hi
- والملفات المرفقة لهذا الفيروس عادة تكون بهذه المسميات والامتدادات :
The_Best.scr
Codeproject.scr
SQL_4_Free.scr
I_Love_You.scr
Stone.scr
Sex.scrSoccer.scr
Real.scr
Plus6.scr
Plus2.scr
Playboy.scr
Hardcore4Free.scr
xxx4Free.scr
Screensavers.scr
Peace.scr
Body_Building.scr
Services.scr
VXer_The_LoveStory.scr
Hacker_The_LoveStory.scr
World_Tour.scr
up_life.scr
Sweetheart.scr
Sexy_Jenna.scr
Jenna_Jemson.scr
zDenka.scr
Ravs.scr
Free_Love_Screensavers.scr
Romeo_Juliet.scr
Hacker.scr
KOF_Fighting.exe
KOF_Sample.exe
KOF_Demo.exe
KOF_The_Game.exe
KOF2002.exe
King_of_Figthers.exe
KOF.exe
My_Sexy_Pic.scr
MyProfile.scr
Ways_To_Earn_Money.exe
Beautifull.scr
Valentines_Day.scr
zXXX_BROWSER.exe
Britney_Sample.scr
THEROCK.scr
FreakOut.exe
MyPic.scr
Notes.exe
Cupid.scr
FixElkern.com
FixKlez.com
Romantic.scr
Project.exe
Love.scr
friendship_funny.scr
Colour_of_life.scr
Life.scr
Best_friend.scr
Friend_happy.scr
True_love.scr
Gc_messenger_exe
Dance.scr
I_like_you.scr
Friend_finder_exe
Be_happy.scr
Sweet.scr
Shake.scr
World_of_friendship.scr
Friendship.scr
Funny.scr
Hotmail_hack_exe.scr
- وعادة يكون اسم المرسل بهذه المسميات :
Klein Anderson
Codeproject
SQL Library
me2K
Rocking Stone
Super Soccer
Sexy Screensavers
Real Inc.
Plus 6
Plus 2
Playboy Inc.
Hardcore Screensavers
XXX Screensavers
Nomadic Screensavers
Keanu Stevenson
Nicolas Schwarzeneggar
admin@hackersclub.com
admin@viruswriters.com
admin@hackers.com
Paul Owen
Benting
Veronica Anderson
Club Jenna
Jenna Jameson
Zdenka Podkapova
Raveena Pusanova
Screensavers of Love
Romeo & Juliet
Jaucques Antonio Barkinstein
Cathy Kindergarten
KOF Online
Omega Rugal
Terry Bogard
Iori Yagami
Kyo Kusanagi
Clark Steel
Ralph Jones
Jasmine Stevens
Ross Anderson
John Vandervochich
American Beauty
Valentine Screensavers
Lovers Screensavers
zporNstarS
britneyspears.org
The Rock
Noopman
Susan
Jonathan
Cupid
McAfee Inc.
Norton Antivirus
Trend Micro
Romantic Screensavers
Jericho
Love Inc.
وايضا
info@flashyat.com
kl@aminoprojects.com
admin@codeproject.com
free@sql.library.com
me@me2K.com
stone@esterplaza.com
marketing@suppersoccer.com
free@sexyscreensavers.com
sales@real.com
plus@real.com
sales@playboy.com
free@hardcorescreensavers.com
free@xxxscreensavers.com
kkn@k2k.comscreensavers@nomadic.com
nics@nomadic.com
paul@kqscore.com
btq@263.com
services@tcsonline.com
admin@clubjenna.com
jenna@jennajameson.com
zdenka@zpornstars.com
ravs@go2pussy.com
love@lovescreensavers.com
DNA_seraph@163.com
super@21cn.com
cathy@21cn.com
admin@kofonline.com
zhouyuye@citiz.net
lubing@7135.com
hamada@seikosangyo.com
luoairong@21cn.com
valentinescreensavers@t2k.com
screensavers@lovers.com
admin@zpornstars.com
newsletters@britneyspears.org
therock@wwe.com
ericpan@online.com.pk
samsun@online.sh.cn
yjworks@online.sh.cn
cupid@freescreensavers.com
av_patch@mcafee.com
av_patch@norton.com
av_patch@trendmicro.com
romanticscreensavers@love.com
caijob@online.sh.cn
loverscreensavers@love.com
- ملاحظة :
1) اذا كان تاريخ جهازك 25 مارس او 22 مايو راح تظهر لك رسالة تقول :
Happy Birthday Dear
2 ) واذا كان يوم الجهاز هو الخميس راح يقوم الفيروس بعمل الاتي
اولا يقوم بعمل عشوائي لوضع الصفحة الرئيسية للمتصفح وذلك بالتحكم في الرجستري
HKEY_CURRENT_USER\Software\Microsoft\InternetExplo rer\Main
على احد هذه العناوين :
http:/ /www.unixhideout.com
http:/ /www.hirosh.tk
http:/ /www.neworder.box.sk
http:/ /www.blacksun.box.sk
http:/ /www.coderz.net
http:/ /www.hackers.com/html/neohaven.html
http:/ /www.ankitfadia.com
http:/ /www.hrvg.tk
http:/ /www.hackersclub.up.to
http:/ /geocities.com/snak33y3s
3) استعادة محتويات المستندات الخاصة بالمستخدم
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ShellFolders
طريقة التخلص من الفيروس
اذا نزلت الفيروس وشغلته اول شي تعمله هوه تحديث النورتن انتي فايروس
بعدها تسوي اعادة تشغيل للجهاز
نسخ ملف
Regedit.exe
وتعديل اسمه الى
Reg.com
وذلك حسب الخطوات التالية وحسب نظام التشغيل الخاص بجهازك ..
الخطوة الاولى :
- بعد تعديل الرجستري :
قم باعادة تشغيل الجهاز
قم بتشغيل برنامج مكافحة الفيروسات واذا لم يقم بتشغيل نفسه
قم بتحميل المف التالي وهو التحديث الذكي الخاص بازالة هذا الفيروس :
http://securityresponse.symantec.com/avcenter/defs.download.html
- لمستخدمي نظام وندوز 95 و 98
اولا الذهاب الى قائمة أبدأ ثم البرامج وبعد ذلك قم باختيار ايقونه
MS-DOS
وبعدها راح تفتح لك شاشة الدوس ..
بعد كذا انتقل للخطوة الثانية .. بالاسفل ..
- لمستخدمي نظام وندوز ملينيوم :
اولا الذهاب الى قائمة أبدأ ثم برامج بعد ذلك برامج ملحقة ثم MS-DOS
اما بخصوص مستخدمي وندوز ان تي و 2000
فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
أكتب فيها الامر التالي
cd \winnt
ثم انتقل للخطوة الثانية ....
لمستخدمي ويندوز اكس بي
فقم بالذهاب الى ابدأ ثم تشغيل واكتب الامر التالي ..
command
واضغط على اوكي وبعدها راح تنفتح لك شاشة الدوس ..
أكتب فيها الامر التالي
cd \windows
الخطوة الثانية
قم بكتابة الأمر التالي
copy regedit.exe reg.com
اضغط انتر
ثم اكتب الامر التالي
start reg.com
و اضغط أنتر
بعد اتمام هذه العملية عليك ان تقوم بتعديل الرجستري وذلك حسب الخطوات التالية
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\
open\command
من قائمة ابدأ اختار تشغيل (RUN)
اكتب فيها
REGEDIT
واحظ ملف الرجستي القديم عشان اذا خبصت ما تروح وطي ..
وتحفظه بانك تروح لكلمة رجستري فوق وتقوله اكسبورت رجستري فايل وتحفظ الملف في مكان كويس وبعد كذا اختار
HKEY_LOCAL_MACHINE
ثم
Software
بعد كذا
Classes
ثم
exefile
ثم
shell
ثم
open
ثم
command
وبعد كذا دبل كلك على كلمة ديفولت وغير القيمة الموجودة للقيمة هذه
"%1" %*
وهية
علامة تنصيص + علامة المئوية +رقم واحد + علامة تنصيص +مسافة + علامة مئوية +نجمة
بالنسبة لوندوز 95 و 98 ووندوز ان تي راح تكون هذه القيمة موجودة اول ما تضغط على زر الاوكي وراح تظهر بهذا الشكل
""%1" %*"
نلاحظ علامة تنصيص زايدة وهذه ما راح تظهر لو كان نظام التشغيل
الوندوز 2000 والاكس بي
بعد كذا روح واتاكد من مجلدات الرجستري هذه
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\RunServices
وبنفس الطريقة السابقة تقدر توصل لها
بعني
HKEY_LOCAL_MACHINE
ثم
Software\Microsoft
ثم
Windows
ثم
CurrentVersion
ثم
Run
وتتاكد اذا
من حذف هذه القيم من الجهة اليمين
WinServices.exe C:\%System%\WinServices.exe
وبعد كذا تقوم باعادة تشغيل الجهاز
وبكذا انشاء الله قمت بالتخلص من هذا الفايروس ..
من بريدي
اكثركم وصله هذا الفايروس واللي سوا لنا قلق عن طريق الايميل والكثير انغش فيه وحمله على جهازه .. لانه كان يوصلك عن طريق اسم شخص تعرفه .. وهذا ما ميز هذا الفايروس بانه ذكي جدا واللي شغالين عليه اذكياء لان بعد ما يصاب جهازك بالفايروس يقوم بعدها بارسال نفسه الى جميع الاعضاء الموجودين في قائمة مسينجر الهوتميل او الياهو وايضا المحفوظين في قائمة الادريس بوك في الاوت لوك ( دفتر العنواين ) ..
ويقوم بصايغة رسائل مختلفة ... مثلا شف البرنامج هذا جديد حمله الان ... لا تفوتك هذي اللعبه شفها بسرعة حملها .. واحيانا قام صديقك بارسالك لك هذا الكارد ( كرت ) قم بتحمليه الان .. الخ من الرسائل ..
والمشكله او الطامه الكبرى ان اغلب شركات الايميل ما وجدت له حل واللي واللي ماتدري عنه !! اكبر مثال الشركه الداجه مكافي اللي تسوي سكان وتفحص على اي ملف يدخل الهوتميل !!!...
اسم الفايروس ونوعه : W32.Yaha.K@mm ياماها .. وهو نسخه معدله من الفيروس W32.Yaha.@mm وهو من نوع worm الدوده ..
- امتداد الفايروس : ينتهي بعلامات scr. و exe. وcom.
- حجم الفايروس: تقريبا بين 45 - 47 ك
- عمله وتأثيرة : يقوم هذا الفايروس بوقف عمل الانتي فايروس والجدار الناري ثم ينشر نفسه عبر البريد حيث ينشئ سيرفر بريد خاص به وينشر نفسه في الايميلات في دفتر العناوين و ميكروسوفت ماسنجر و الياهو مسنجر وجميع الملفات التي ينتهي امتدادها بHTML
ويقوم بتعطيل تشغيل بعض البرامج ايضا بجعل الملفات مخفيه ( ملفات الوورد .. إكسل .. بورباوينت .. صور .. ريال بلاير ... الخ ) .
1) عند تشغيل فيروس ياماها يقوم اول شي بنسخ نفسه في في ملفات مخفية داخل مجلد السيستيم في الويندوز بهذه الاسماء والامكان :
* لـ ويندوز ME : داخل مجلد .. C:\Windows\System
* لـ ويندوز XP / 98 /95 : داخل مجلد .. C:\Windows\System32
بالاسماء التاليه :
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
2) بعدها يعمل هذي الملفات داخل مجلد النظام وتكون ثابته :
WinServices.exe
Nav32_loader.exe
Tcpsvs32.exe
3) يقوم بعمل صيغة وقانون في الرجستري بالقيمة التالية :
WinServices.exe C:\%System%\WinServices.exe
وفي الرجستري في هذه المواقع :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
وبكذا يقوم الفيروس بتشغيل نفسه كل ما تشغل الجهاز الكمبيوتر .
4) يقوم الفيروس باعداد نفسه ليقوم بتشغيل نفسه كل مرة على اساس انه ملف تطبيقي وذلك بتغير قيمته الخاصة في الرجستري:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command
الى
C:\%System%\WinServices.exe"%1 %*
5) يقوم الفيروس باغلاق ملفات وبرامج مكافحة الفيروسات والحماية والأدوات الوقائية للجهاز (Firewalls) ... وذلك بعمل قانون لها يمنعها من ايقاف اي ملف يحمل اي من الاسماء التالية :
REGEDIT
ACKWIN32
F-AGNT95
SWEEP95
VET95
N32SCANW
_AVPM
LOCKDOWNADVANCED
NSPLUGIN
NSCHEDNT
NRESQ32
NPSSVC
NOD32
_AVPCC
_AVP32
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
TDS2-98
SCAN32
PCFWALLICON
NSCHED32
IAMSERV.EXE
FRW.EXE
MCAFEE
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
RMVTRJANSAFEWEB
WEBSCANX
PVIEW
ANTIVIR
- آليه طريقة ارسال الفايروس :
يقوم الفيروس باستخدام ملقمات البريد الوارد والصادر الخاصة به وذلك ليقوم بارسال نفسه لكل ايميل موجود في ملف الايميلات بنظام التشغيل وندوز او في المسنجر هوت ميل والياهو بيجر وكل الملفات التي تحمل في الاكستنشن الحرفين اتش وتي ويحمل الفيروس اكثر من ملقم بريد وارد وصادر يمكنه استخدامها .. وذلك ببرمجة عبقرية تم بها صنع هذا الفيروس.
- عنوان رسالة الفايروس عادة تكون بالعناوين التاليه :
Are you the BEST
Free Win32 API source
Learn SQL 4 Free
I Love You..
Wanna be like a stone ?
Are you a Soccer Fan ?
Sexy Screensavers 4 U
Check it out
Sample Playboy
Hardcore Screensavers 4 U
XXX Screensavers 4 U
We want peace
Wanna be a HE-MAN
Visit us
One Virus Writer's Story
One Hacker's Love
World Tour
Whats up
Wanna be my sweetheart ??
Screensavers from Club Jenna
Jenna 4 U
Free rAVs Screensavers
Feel the fragrance of Love
Wanna Hack ??
Sample KOF 2002
The King of KOF
Wanna Brawl ??
Wanna Rumble ??
Play KOF 2002 4 Free
Demo KOF 2002
Free Demo Game
Wanna be friends ??
Need money ??
Are you beautiful
Who is your Valentine
Free Screenavers of Love
Free XXX
Free Screensavers
WWE Screensavers
Freak Out
Wanna be friends ?
Things to note
Lovers Corner
Patch for Elkern.gen
Patch for Klez.H
Free Screensavers 4 U
Project
Sample Screensavers
Are you in Love
I am in Love
I Love You
You are so sweet
The Hotmail Hack
U realy Want this
to ur lovers
to ur friends
Find a good friend
Learn How To Love
Are you looking for Love
Wowwwwwwwwwww check it
Check ur friends Circle
The world of Friendship
Shake it baby
How sweet this Screen saver
war Againest Loneliness
Need a friend?
Say 'I Like You' To ur friend
love speaks from the heart
Let's Dance and forget pains
Looking for Friendship
True Love
make ur friend happy
Who is ur Best Friend
hey check it yaar
Check this shit
Hello
Hi
- والملفات المرفقة لهذا الفيروس عادة تكون بهذه المسميات والامتدادات :
The_Best.scr
Codeproject.scr
SQL_4_Free.scr
I_Love_You.scr
Stone.scr
Sex.scrSoccer.scr
Real.scr
Plus6.scr
Plus2.scr
Playboy.scr
Hardcore4Free.scr
xxx4Free.scr
Screensavers.scr
Peace.scr
Body_Building.scr
Services.scr
VXer_The_LoveStory.scr
Hacker_The_LoveStory.scr
World_Tour.scr
up_life.scr
Sweetheart.scr
Sexy_Jenna.scr
Jenna_Jemson.scr
zDenka.scr
Ravs.scr
Free_Love_Screensavers.scr
Romeo_Juliet.scr
Hacker.scr
KOF_Fighting.exe
KOF_Sample.exe
KOF_Demo.exe
KOF_The_Game.exe
KOF2002.exe
King_of_Figthers.exe
KOF.exe
My_Sexy_Pic.scr
MyProfile.scr
Ways_To_Earn_Money.exe
Beautifull.scr
Valentines_Day.scr
zXXX_BROWSER.exe
Britney_Sample.scr
THEROCK.scr
FreakOut.exe
MyPic.scr
Notes.exe
Cupid.scr
FixElkern.com
FixKlez.com
Romantic.scr
Project.exe
Love.scr
friendship_funny.scr
Colour_of_life.scr
Life.scr
Best_friend.scr
Friend_happy.scr
True_love.scr
Gc_messenger_exe
Dance.scr
I_like_you.scr
Friend_finder_exe
Be_happy.scr
Sweet.scr
Shake.scr
World_of_friendship.scr
Friendship.scr
Funny.scr
Hotmail_hack_exe.scr
- وعادة يكون اسم المرسل بهذه المسميات :
Klein Anderson
Codeproject
SQL Library
me2K
Rocking Stone
Super Soccer
Sexy Screensavers
Real Inc.
Plus 6
Plus 2
Playboy Inc.
Hardcore Screensavers
XXX Screensavers
Nomadic Screensavers
Keanu Stevenson
Nicolas Schwarzeneggar
admin@hackersclub.com
admin@viruswriters.com
admin@hackers.com
Paul Owen
Benting
Veronica Anderson
Club Jenna
Jenna Jameson
Zdenka Podkapova
Raveena Pusanova
Screensavers of Love
Romeo & Juliet
Jaucques Antonio Barkinstein
Cathy Kindergarten
KOF Online
Omega Rugal
Terry Bogard
Iori Yagami
Kyo Kusanagi
Clark Steel
Ralph Jones
Jasmine Stevens
Ross Anderson
John Vandervochich
American Beauty
Valentine Screensavers
Lovers Screensavers
zporNstarS
britneyspears.org
The Rock
Noopman
Susan
Jonathan
Cupid
McAfee Inc.
Norton Antivirus
Trend Micro
Romantic Screensavers
Jericho
Love Inc.
وايضا
info@flashyat.com
kl@aminoprojects.com
admin@codeproject.com
free@sql.library.com
me@me2K.com
stone@esterplaza.com
marketing@suppersoccer.com
free@sexyscreensavers.com
sales@real.com
plus@real.com
sales@playboy.com
free@hardcorescreensavers.com
free@xxxscreensavers.com
kkn@k2k.comscreensavers@nomadic.com
nics@nomadic.com
paul@kqscore.com
btq@263.com
services@tcsonline.com
admin@clubjenna.com
jenna@jennajameson.com
zdenka@zpornstars.com
ravs@go2pussy.com
love@lovescreensavers.com
DNA_seraph@163.com
super@21cn.com
cathy@21cn.com
admin@kofonline.com
zhouyuye@citiz.net
lubing@7135.com
hamada@seikosangyo.com
luoairong@21cn.com
valentinescreensavers@t2k.com
screensavers@lovers.com
admin@zpornstars.com
newsletters@britneyspears.org
therock@wwe.com
ericpan@online.com.pk
samsun@online.sh.cn
yjworks@online.sh.cn
cupid@freescreensavers.com
av_patch@mcafee.com
av_patch@norton.com
av_patch@trendmicro.com
romanticscreensavers@love.com
caijob@online.sh.cn
loverscreensavers@love.com
- ملاحظة :
1) اذا كان تاريخ جهازك 25 مارس او 22 مايو راح تظهر لك رسالة تقول :
Happy Birthday Dear
2 ) واذا كان يوم الجهاز هو الخميس راح يقوم الفيروس بعمل الاتي
اولا يقوم بعمل عشوائي لوضع الصفحة الرئيسية للمتصفح وذلك بالتحكم في الرجستري
HKEY_CURRENT_USER\Software\Microsoft\InternetExplo rer\Main
على احد هذه العناوين :
http:/ /www.unixhideout.com
http:/ /www.hirosh.tk
http:/ /www.neworder.box.sk
http:/ /www.blacksun.box.sk
http:/ /www.coderz.net
http:/ /www.hackers.com/html/neohaven.html
http:/ /www.ankitfadia.com
http:/ /www.hrvg.tk
http:/ /www.hackersclub.up.to
http:/ /geocities.com/snak33y3s
3) استعادة محتويات المستندات الخاصة بالمستخدم
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ShellFolders
طريقة التخلص من الفيروس
اذا نزلت الفيروس وشغلته اول شي تعمله هوه تحديث النورتن انتي فايروس
بعدها تسوي اعادة تشغيل للجهاز
نسخ ملف
Regedit.exe
وتعديل اسمه الى
Reg.com
وذلك حسب الخطوات التالية وحسب نظام التشغيل الخاص بجهازك ..
الخطوة الاولى :
- بعد تعديل الرجستري :
قم باعادة تشغيل الجهاز
قم بتشغيل برنامج مكافحة الفيروسات واذا لم يقم بتشغيل نفسه
قم بتحميل المف التالي وهو التحديث الذكي الخاص بازالة هذا الفيروس :
http://securityresponse.symantec.com/avcenter/defs.download.html
- لمستخدمي نظام وندوز 95 و 98
اولا الذهاب الى قائمة أبدأ ثم البرامج وبعد ذلك قم باختيار ايقونه
MS-DOS
وبعدها راح تفتح لك شاشة الدوس ..
بعد كذا انتقل للخطوة الثانية .. بالاسفل ..
- لمستخدمي نظام وندوز ملينيوم :
اولا الذهاب الى قائمة أبدأ ثم برامج بعد ذلك برامج ملحقة ثم MS-DOS
اما بخصوص مستخدمي وندوز ان تي و 2000
فقم بالذهاب الى ابدأ ثم تشغيل واكتب
command
واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
أكتب فيها الامر التالي
cd \winnt
ثم انتقل للخطوة الثانية ....
لمستخدمي ويندوز اكس بي
فقم بالذهاب الى ابدأ ثم تشغيل واكتب الامر التالي ..
command
واضغط على اوكي وبعدها راح تنفتح لك شاشة الدوس ..
أكتب فيها الامر التالي
cd \windows
الخطوة الثانية
قم بكتابة الأمر التالي
copy regedit.exe reg.com
اضغط انتر
ثم اكتب الامر التالي
start reg.com
و اضغط أنتر
بعد اتمام هذه العملية عليك ان تقوم بتعديل الرجستري وذلك حسب الخطوات التالية
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\
open\command
من قائمة ابدأ اختار تشغيل (RUN)
اكتب فيها
REGEDIT
واحظ ملف الرجستي القديم عشان اذا خبصت ما تروح وطي ..
وتحفظه بانك تروح لكلمة رجستري فوق وتقوله اكسبورت رجستري فايل وتحفظ الملف في مكان كويس وبعد كذا اختار
HKEY_LOCAL_MACHINE
ثم
Software
بعد كذا
Classes
ثم
exefile
ثم
shell
ثم
open
ثم
command
وبعد كذا دبل كلك على كلمة ديفولت وغير القيمة الموجودة للقيمة هذه
"%1" %*
وهية
علامة تنصيص + علامة المئوية +رقم واحد + علامة تنصيص +مسافة + علامة مئوية +نجمة
بالنسبة لوندوز 95 و 98 ووندوز ان تي راح تكون هذه القيمة موجودة اول ما تضغط على زر الاوكي وراح تظهر بهذا الشكل
""%1" %*"
نلاحظ علامة تنصيص زايدة وهذه ما راح تظهر لو كان نظام التشغيل
الوندوز 2000 والاكس بي
بعد كذا روح واتاكد من مجلدات الرجستري هذه
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\RunServices
وبنفس الطريقة السابقة تقدر توصل لها
بعني
HKEY_LOCAL_MACHINE
ثم
Software\Microsoft
ثم
Windows
ثم
CurrentVersion
ثم
Run
وتتاكد اذا
من حذف هذه القيم من الجهة اليمين
WinServices.exe C:\%System%\WinServices.exe
وبعد كذا تقوم باعادة تشغيل الجهاز
وبكذا انشاء الله قمت بالتخلص من هذا الفايروس ..
من بريدي