ابو خالد
الوسام الفضي
عدد المساهمات : 757
رتــبتي : 
 |  موضوع: tazebama الآن أقتله و استرح الإثنين 02 أغسطس 2010, 09:11 | |
| علومات عن هذه الدودة :
النوع : فيروس يصيب الويندوز باختلاف انواعه ويعمل ببيئة 32 بت win32 أي انه لا يعمل على نظام الدوس
الانتشار : الأقراص القابله للإزالة مثل الفلاشات والأقراص المرنة أيضاً المجلدات والملفات المشتركة على الشبكة
حجم الدودة : 155 KB
طريقة عمل الدودة :
بعد الاستخراج تقوم الدودة بنسخ نفسها إلى المسارات التالية
%drive%\********s and Settings\
ويكون تحت اسم
tazebama.dl_
hook.dl_
tazebama.dll
ثم يقوم بصنع مجلد له في المسار
%appdata%\tazebama\
ومن ثم يقوم بحذف هذه القيم من الريجستري
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
"NoDriveTypeAutoRun"
ويقوم بإضافة قيم له في الريجستري تحت
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden" = 2
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"HideFileExt" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"ShowSuperHidden" = 0
ويقوم الفايروس بإصابة جميع البرامج القابلة للاستخراج ذات الصيغة exe
وينتشر بسرعة كبيرة جداً
لدودة قد تجدها في المسار وهو
%userprofile%\Local Settings\Application Data\Microsoft\CD Burning\
إذا كان كذلك , فسوف يكون الفايروس أو الدودة تحت مسمى
zPharaoh.exe
وقد نجد
autorun.inf في نفس المجلد
وقد تمسح الدودة جميع مايكون في المجلد أعلاه
وقد تصنع لنفسها مستند نصي باالمسار
%appdata%\tazebama\zPharaoh.dat
وقد تجدها أيضاً في المجلد
%drive%\********s and Settings\ folder:
تحت اسم
My********s.rar
backup.rar
********s_backup.rar
imp_data.rar
source.rar
windows_secrets.rar
passwords.rar
serials.rar
office_crack.rar
windows.rar
حمل الاداة من هنا
http://www.zshare.net/download/513349663beb6629/
| |
|
