بتـــــاريخ : 2/26/2011 5:16:49 AM
الفــــــــئة
  • الحـــــــــــاسب
  • التعليقات المشاهدات التقييمات
    0 1026 0


    طريقة جديدة لتشغيل الفيروسات عند بدأ تشغيل النظام "diskjack"

    الناقل : elmasry | العمر :42 | الكاتب الأصلى : DATA_SNIPER | المصدر : www.arabteam2000-forum.com

    كلمات مفتاحية  :

    السلام عليكم ورحمة الله تعالى وبركاته.
    اليوم سنتحدث عن طريقة جديدة إكتشفتها فقي نظام الوندوز لشتغيل البرمج الضارة و الفيروسات و التروجانات عند بدء التشغيل ما سنتكلم عنه هو ما الهدف من
    ولقد سميت هذه الطريقة البسيطة بــ DiskJack لكي تأخذ الطابع التقني :wink: .
    هذه الطريقة ولما تعتبر احسن من الطرق الأخرى.
    ما يعيب الطرق الأخرى هي انها مكشوفة وروتينة لذلك لابد من البحث عن طريقة غير مكشوفة وتكون بشكل مغاير.
    الطريقة تعتمد على خلفية سطح المكتب + التعديل في مسجل النظام لتغيرها(هنالك اكواد تقوم بذلك مباشرة).
    شاهد هذه الصورة وذلك بعد إقتناص و التأشير على خلفية سطح المكتب.
    ارفق صورة : monthly_11_2008/post-88726-1226691429.png
    ماذا تلاحظ؟؟؟ هل تعني لك هته العبارة شيء Internet Explorer_Server...
    اذا لم تعني لك شيئ شاهد الصورة
    ارفق صورة : monthly_11_2008/post-88726-1226691487.png
    ماذا تستنتج؟ اعرف اني وضعتك في دائرة من التساؤلات وانك لم تفهم شيئ لاعليك سأوضح.
    Internet Explorer_Server هو Class يستعمل في كثير من الحالات وتراه كثيرا في IE جميع الإصدارات لأنه هو الذي يقوم بعرض صفحات الإنترنت.
    وهذا يعني انك تستطيع ان تجعل خلفية ستطح المكتب عبارة عن ملف HTML لأنه هو المستعمل في عرض الصور في الخلفية(وهذا ما توضحه الصورة الأولى)، وهنا المشكلة.
    السيناريو سيكون كاتالي:
    2-نسخ Viral.exe إلى مكان معين غير System Files Directory لكي لا يتم كشفها طبقا لتقنية behavior Study طبعا هذه إجراءات إحترازية ضد الكاسبر 2009 ممكن سيكون من السهل نسخ الفيروس إلى مجلد النظام وعدم التعرض للكشف من برامج المكافحة الأخرى.
    1-انشاء صفحة HTML بها كود يقوم بتشغيل Viral.exe
    3-تغير الخلفية إلى صفحة ال HTML التي تم إنشاءها.
    وذلك عن طريق التعديل على المفتاح التالي في Registry.

    HKEY_CURRENT_USER\Control Panel\Desktop

    في القيمة Wallpaper وجعلها تشير إلى مسار ملف HTML .
    زائد التعديل على
    HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle

    على القيمة Wallpaper وجعلها 1.
    طبعا التعديل على تلك المفاتيح لا يشكل خطر من وجهة نظر برامج المكافحة لذلك لا تكشف بالإضافة إلأى ان جميع برامج التحليل لا تكشفها من بينها.
    HijackTis و a-squared HijackFree و Autorun.
    المهم بعد التعديل على تلك المفاتيح بعد إعادة تشغيل النظام او بعد غلق Explorer.exe سيتم تحميل الإعدادات وبالتالي تشغيل Viral.exe وهنالك مشكلة بسيطة يمكن حلها وهو انك كلما تعمل Refresh او F5 سيتم اعادة تشغيل التروجان من جهة هي مشكلة لأنه سيتم تشغيل نسخ عديدة من Viral.exe وذلك يتم حلها عن طريق CreateMitux او CreateEvent او FindWindow ومن جهة أخرى هي جيدة اذا كان صاحب الجهاز يغلق Viral.exe .
    الآن نأتي لكتابة بعض الأكواد.
    كود التشغيل الموجود في HTML.
    <script language=vbscript>
    on error resume next
    dim sys
    Set df = document.createElement("object")
    df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 "
    set fso = df.createobject("Scripting.FileSystemObject","")
    set s=df.CreateObject("Shell.Application.1","")
    set re=df.createobject("wscript.shell","")
    sys=fso.GetSpecialFolder(1)
    s.Open ("C:\Program Files\WinRAR\Viral.exe")
    </script>

    الكود هذا لا يعمل مع IE8 يعني اذا تم تثبيت IE8 فإن الصفحة لن تقوم بتشغيل البرنامج.
    لذلك اترك لك عناء البحث عن طريقة للتشغيل.
    وفي النهاية من الممكن ان يتسائل الإخوة تغير الخلفية سيكشف الأمر وسيشك صاحب الجهاز .
    اقول يمكن لك ان تقوم بالتعديل على الصفحة واظافة صورة الخلفية السابقة في ملف HTML + كود التشغيل.
    ططبعا باب الإبداع مقتوح وطبعا هنالك طرق عديدة للتشغيل التلقائي يمكن ان تكتشفها بنفسك وما اضيفه إلى هو ان هذه الطريق بما انها تشتغل من Explorer.exe يمكن ان تقوم بوضع Exploit كخلفية ويتم تنفيذ Exploit من خلال Explorer.exe وعن طريق هذا ستتفادى الكثير من برامج المكافحة.
    و السلام عليكم ورحمة الله تعالى وبركاته.

    كلمات مفتاحية  :

    تعليقات الزوار ()