فايروس المنتديات الخبيث

[$$$المجنوون$$$]

السلام عليكم ورحمة الله وبركاته

.

.

.






اعزائـ‘ــي رواد منتـ‘ـديات خيبر الايمانيه

وددت تــحذير الجمــيع من ..وجــود احد البــاتشات الخطــيره

والتـ‘ـي انتــشرت مؤخــرا داخــل المنتــديات ..
عنـ‘ـد الاصــابه به ,, يوضــع رابط لــه في نــهاية أي مشاركــه للعــضو الذي تمكن
الفــايروس من اختــراق جهــازه دون درايــة من صاحــب الجــهاز
وقد حــدثت مــواقف كثيـ‘ـره لاشخــاص تمكــن الفايروس من اجهــزتهم





كيفيـ‘ـة حـ‘ـدوث الاصابـ‘ـه بهـ‘ـذا الباتـ‘ـش !

تحدث الاصابه به عن طريق تشغيل الملف s e x-game-3.801.zip اسم مغري
اما عن طريق تحميله من احد الروابط ( الموجوده بنهاية المشاركات
او التحميل التلقائي والتشغيل بمجرد الدخول لبعض الصفحات الموجوده من ضمن هذه المواقع


http://fruitsinsuits.com.hk/images/flyers
Playcast
www.v i x en-toys.com
Welcome to Welcome to www.marketing-know-how.com
skilltests.org
zup.secondsite1.com
66.148.74.7

تفـ‘ـاصيـ‘ـل عـ‘ـن هـ‘ـذا البـ‘ـاتش

مسميات الباتش من شركات الحمايه

Spam-Mespam ( مكافي )
Trojan-Proxy.Win32.Jaber.a ( كاسبر سكاي )
Mal/Cimuz-A ( سوفس Sophos)
Win32/Difisim.AG ( النورتون )
وعند الاصابه ,, على طول يتصل باحد هذه المواقع لتحميل باقي الملفات
كود:
http://skilltests.or
بعدها يستقبل رسائل ويحفظها على الجهاز بالاسماء التاليه ,, في مجلد النظام windows\system32
pfxzmtaim.dll
pfxzmtforum.dll
pfxzmtgtal.dll
pfxzmticq.dll
pfxzmtsmt.dll
pfxzmtsmtspm.dll
pfxzmtwbmail.dll
pfxzmtymsg.dll
sfxzmtsmt.dll
sfxzmtsmtspm.dll



بعـ‘ـد ذلك يقـ‘ـوم باعـ‘ـادة ارسـ‘ـالها كـ رسائـ‘ـل سـ‘ـبام ( تطـ‘ـفل ) , باستـ‘ـخدام شركـ‘ـات الـ‘ـبريد الالكتـ‘ـروني التاليـ‘ـه..

webmail.tiscali.co.uk
earthlink.net
comcast.net
webmail.bellsouth.net
fastmail.fm mail.google.com
care2.com mail.com
mail.rambler.ru
×××××××.msn.com
mail.yahoo.com
lycos.com
webmail.aol.com
win.mail.ru

وايضـ‘ـا باعـ‘ـادة ارسـ‘ـالها كـ رسائـ‘ـل سبـ‘ـام ( تطـ‘ـفل ) باستـ‘ـخدم ماسنـ‘ـجر هذه الشـ‘ـركات

GoogleTalk
Yahoo! Mger
AOL Instant Mger
وايضا يتصل بهذا الموقع ds.nac.net لتحميل الباتش Downloader-BAI
ويقوم بتحميل هذه الملفات ( rsvp32_2.dll و rsvp32_2.dll435 و rsvp322.dll )
ويقوم بتثبيت احد منها كــ خدمه Layered Service Provider اختصار ( LSP )بحيث يشتغل الباتش عند الاتصال بالنت
باضافة هذا المفتاح لمسجل النظام ,,
وايضا يقوم بتحميل الملف sporder.dll وليس مصاب ( نظيف )
ويضع جميع الملفات السابقه في مجلد النظام windows\system32


ممـ‘ـا سبـ‘ـق ذكـ‘ـره

نستـ‘ـطيع القـ‘ـيام بعـ‘ـمل سكـ‘ـربت لحـ‘ـذف الباتـ‘ـش + تعـ‘ـديل ملـ‘ـف الهوسـ‘ـت Hosts بحيـ‘ـث نمنـ‘ـع الاتصـ‘ـال بمـ‘ـواقع الباتـ‘ـش

اولا.. ,, حذف ملفات الباتش
جميع الملفات نقـ‘ـوم بحذفها باستخدام الامر del /a /q /f
لكن ملف الخدمه ( rsvp32_2.dll او rsvp32_2.dll435 او rsvp322.dll )
Layered Service Provider اختصار ( LSP ) لانستـ‘ـطيع حذفه
بل نقـ‘ـوم بتعطيل الخدمه ومن ثم نستطيع حذفه بسهوله
ولتعطيل الخدمه نستخدم الاداة LSPFix tools وهذا رابط التحميل للأداة
http://www.zyzoom.net/soft/security/...ix%20tools.exe

قـ‘ـم بتشغيل الاداة واعمل التالي ,,









بعـ‘ـد ذلك نقـ‘ـوم باعـ‘ـادة تشغـ‘ـيل الجـ‘ـهاز

الآن قـ‘ـم بحذف ملفات الباتش ,, باستخدام هذا السكربت

كود:

@ECHO off
color 17
ECHO \ Trojan-Proxy.Win32.Jaber.a Remover
ECHO \ Done By Zyzoom : Turky Al-Otaibi
ECHO \ زيزوووم للأمن والحمايه _ - Powered by vBulletin
del /q/f/a %windir%\system32\sfxzmtwbmail.dll
del /q/f/a %windir%\system32\sfxzmtforum.dll
del /q/f/a %windir%\system32\sporder.dll
del /q/f/a %windir%\system32\rsvp322.dll
del /q/f/a %windir%\system32\rsvp32_2.dll
del /q/f/a %windir%\system32\rsvp32_2.dll435
del /q/f/a %windir%\system32\pfxzmtaim.dll
del /q/f/a %windir%\system32\pfxzmtforum.dll
del /q/f/a %windir%\system32\pfxzmtgtal.dll
del /q/f/a %windir%\system32\pfxzmticq.dll
del /q/f/a %windir%\system32\pfxzmtsmt.dll
del /q/f/a %windir%\system32\pfxzmtsmtspm.dll
del /q/f/a %windir%\system32\pfxzmtwbmail.dll
del /q/f/a %windir%\system32\pfxzmtymsg.dll
del /q/f/a %windir%\system32\sfxzmtsmt.dll
del /q/f/a %windir%\system32\sfxzmtsmtspm.dll
del /q/f/a %windir%\system32\aosmx.dll
del /q/f/a %windir%\system32\aimsmx.dll
del /q/f/a %windir%\system32\ymsgsmx.dll
del /q/f/a %windir%\system32\gtalsmx.dll
del /q/f/a %windir%\system32\pfxzmtaim.dll
del /q/f/a %windir%\system32\pfxzmtforum.dll
del /q/f/a %windir%\system32\pfxzmtgtal.dll
del /q/f/a %windir%\system32\pfxzmticq.dll
del /q/f/a %windir%\system32\pfxzmtsmt.dll
del /q/f/a %windir%\system32\pfxzmtsmtspm.dll
del /q/f/a %windir%\system32\pfxzmtwbmail.dll
del /q/f/a %windir%\system32\pfxzmtymsg.dll
exit
ثـ‘ـانيا

,, نمنع الاتصال بمواقع الباتش

نفتح ملف الهوست Hosts باستخدام برنامج المفكره للويندوز ,,
وملف الهوست موجود على هذا المسار
C:\WINDOWS\system32\drivers\etc
ونضيف التالي بنهاية ملف الهوست
fruitsinsuits.com.hk
127.0.0.1 cards.funnystories.ru/288100
127.0.0.1 www.***************
127.0.0.1 Welcome to Welcome to www.marketing-know-how.com
127.0.0.1 skilltests.org
127.0.0.1 zup.secondsite1.com
127.0.0.1 66.148.74.7
127.0.0.1 ds.nac.net
127.0.0.1 mailfreepostcards.com





المنتدى يمنع بعض الكلمات تستطيع تحميل المواقع من هنا

http://www.w30w.com/up-pic/uploads/b1cdf04a43.txt
وهذا إهداء لكم
عباره عن ملف واحد Zyzoom_fix_Trojan-Proxy.Win32.Jaber.a
ويعمل التالي بشكل تلقائي
1 ) حذف مفاتيح الباتش من مسجل نظام الويندوز وتعديل ( LSP ) وارجاعها الى الاصل
2 ) حذف جميع ملفات الباتش
3 ) تعديل ملف الهوست بحيث نمنع الاتصال بمواقع الباتش
4 ) عمل مجلدات وهميه بإسم ملف الباتش وحمايتها من الحذف,, بحيث نمنع تشغيل الباتش
وعند تشغيل ملف الباتش تظهر رسالة الخطـأ التاليه ,, كما بهذه الصوره




في النهايه اتمنى عمل اللازم لحماية اجهزتكم من ذلك الباتش ..

منقـ‘ـول بتصـ‘ـرف

..

اطيب تحيه


أخوكم :$$$المجنوون$$$

[احساس العالم]

يعطيك الف عافيه على التنويه


تحياتي لك

[$$$المجنوون$$$]

احساس شاكر لك مرورك

[عبدالرحمن المهد]

شكراااااااااااااااااااااااااااا

[ضوء القمر87]

مشكور أخي .