ابو خالد الوسام الفضي
عدد المساهمات : 757 رتــبتي :
| موضوع: tazebama الآن أقتله و استرح الإثنين 02 أغسطس 2010, 09:11 | |
| علومات عن هذه الدودة : النوع : فيروس يصيب الويندوز باختلاف انواعه ويعمل ببيئة 32 بت win32 أي انه لا يعمل على نظام الدوس الانتشار : الأقراص القابله للإزالة مثل الفلاشات والأقراص المرنة أيضاً المجلدات والملفات المشتركة على الشبكة حجم الدودة : 155 KB طريقة عمل الدودة : بعد الاستخراج تقوم الدودة بنسخ نفسها إلى المسارات التالية %drive%\********s and Settings\ ويكون تحت اسم tazebama.dl_ hook.dl_ tazebama.dll ثم يقوم بصنع مجلد له في المسار %appdata%\tazebama\ ومن ثم يقوم بحذف هذه القيم من الريجستري [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer] "NoDriveTypeAutoRun" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer] "NoDriveTypeAutoRun" ويقوم بإضافة قيم له في الريجستري تحت [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] "Hidden" = 2 [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] "HideFileExt" = 1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] "ShowSuperHidden" = 0 ويقوم الفايروس بإصابة جميع البرامج القابلة للاستخراج ذات الصيغة exe وينتشر بسرعة كبيرة جداً لدودة قد تجدها في المسار وهو %userprofile%\Local Settings\Application Data\Microsoft\CD Burning\ إذا كان كذلك , فسوف يكون الفايروس أو الدودة تحت مسمى zPharaoh.exe وقد نجد autorun.inf في نفس المجلد وقد تمسح الدودة جميع مايكون في المجلد أعلاه وقد تصنع لنفسها مستند نصي باالمسار %appdata%\tazebama\zPharaoh.dat وقد تجدها أيضاً في المجلد %drive%\********s and Settings\ folder: تحت اسم My********s.rar backup.rar ********s_backup.rar imp_data.rar source.rar windows_secrets.rar passwords.rar serials.rar office_crack.rar windows.rar حمل الاداة من هنا http://www.zshare.net/download/513349663beb6629/ | |
|