شرح بالفيديو والصور طرق الاصابه بالفيرس الصيني اللعين فيرس win 32 xorer [الأرشيف]

kamer14

12-06-2008, 01:27 PM

ياتي الفيرس عن طريق اميل الياهو
او المواقع
وفي الغالب بيجي عن طريق الياهو اول متفتح الاميل

ودا شاكله علي الاميل

http://files.arabchurch.com/upload/images/509768951.jpg (http://www.arabchurch.com/upload)

ودا شكله لما بيجي من علي المواقع
لما نشوف هزه الصور لا نضغط عليها نهائيا

http://files.arabchurch.com/upload/images/831045063.jpg (http://www.arabchurch.com/upload)

وسعات نيجي نحمل اي ملف ناخد بالنا واحنا بنحمل

هنلاقي تطلع معانا فايل للتحميل 139 كيلو بايت

ياعني ولا حاجه واسمه سيتب
setup

نكنسل ونعيد التحميل

ووهو بيتلقط في اي فايل تحميل

ولو جهازك اصاب بالفيرس هيطلعلك صفحه زي دي

http://files.arabchurch.com/upload/images/188971205.jpg (http://www.arabchurch.com/upload)

وطريقه الوقايه منه
كسبرسكي انترنت سيكيورتي 7 او 8

ودي صوره بتوريلنا انو ماسك الفيرس وهو نازل من الاميل
بمجرد مافتحت
الاميل علي الجهاز

http://files.arabchurch.com/upload/images/637688094.jpg (http://www.arabchurch.com/upload)

ياريت كلنا ناخد بالنا
واللي جهازه متفيرس خلاص وداس عليها
هيبتدي يفتحله موقع صيني عليه بطريق اتوماتيك
وعلشان نشيل الفيرس دا مفيش غير حل واحد بس
هو ان تحط الهرد دسك علي كمبيوتر اخر عليه كسيبرسكي وتعمل اسكان علي الهارد كله
وتنزل ويندز جديد
اتمنا اني اكون قدرت افيدكم
اضافات بعض الاشياء التي توصلت عليها بخصوص الفيرس الصيني

انتشر فايروس صيني Virus.Win32. Xorer ( مسمى شركة الكاسبر ) بشكل واسع في مواقع الانترنت
ونزلت منه عدة اصدارات ,, وحصرت تقريبا 25 اصدار بمسميات خاصه بشركة الكاسبر بعد بحث مضني دام طويلاا

Trojan-Dropper. Win32.Agent. bbz Virus.Win32. Xorer.dj Trojan.Win32. Pakes.c Virus.Win32. Xorer.x Virus.Win32. Xorer.bu Virus.Win32. Xorer.cb Virus.Win32. Xorer.bs Virus.Win32. Xorer.k Virus.Win32. Xorer.ab Virus.Win32. Xorer.dr Virus.Win32. Xorer.cz Virus.Win32. Xorer.dc Virus.Win32. Xorer.dg Virus.Win32. Virut.q Virus.Win32. Xorer.dk Virus.Win32. Xorer.ed Virus.Win32. Xorer.ek Virus.Win32. Xorer.ec Virus.Win32. Xorer.dy Virus.Win32. Xorer.cq Virus.Win32. Xorer.ca Virus.Win32. Xorer.eb Virus.Win32. Xorer.b Virus.Win32. Xorer.s

وفيهم الاصدار Win32.Xorer. fb خبيث بمعنى الكلمه
الفيروس خطير واذا اصاب ملفات exe ما ينظف منها ( فقط حذف )

طرق الاصابة بالفايروس

تحدث الاصابة عند تشغيل احد ملفات الفايروس او اي ملف تشغيلي ( exe ) مصاب به
وتصل الينا هذه الملفات اما بتحميلها من الانترنت ,, او استخدام فلااش ميموري على جهاز مصاب
حيث تنشر الاصابة بالفايروس عند ادخالها بأي جهاز آخر

أعراض الاصابة بالفايروس

أهم هذه الاعراض: تعطيل جميع برامج الحماية ( المشهوره ) الموجوده على الجهاز
ثقل بتشغيل البرامج ,, عدم تشغيل بعض البرامج ,, اختفاء ( خيار ) اظهار ملفات النظام المخفية
ظهور الشاشة الزرقاء عند استخدام الوضع الآمن للويندوز
ويقوم الفايروس بفتح موقع صيني ,, كما بهذه الصوره

ملغيه لاني لم اصيب بالفير
وايضا من حركاته المزعجه ,, اظهاره لرسائل دعائية عند تصفحك للانترنت

http://files.arabchurch.com/upload/images/814805066.jpg (http://www.arabchurch.com/upload)

ملفات الفايروس واماكنها

كود:

c:\894729.log
c:\118766.log
c:\119141.log
c:\118688.log
c:\118610.log
c:\122610.log
c:\122438.log
c:\118219.log
c:\118563.log
c:\118454.log
c:\119266.log
------------ --------
c:\pagefile. pif
c:\pagefile. exe
c:\AUTORUN.INF
تنسخ على جميع محركات الجهاز
------------ --------
------------ --------

c:\lsass.exe. ????.exe
c:\SMSS.exe. ????.exe
????= ارقام متغيره
------------ --------
%windir%\system32\ Com\netcfg. 0 00
%windir%\system32\ Com\netcfg. d ll
%windir%\system32\ Com\lsass. ex e
%windir%\system32\ Com\smss. exe
%windir%\system32\ dnsq.dll
------------ ----
%ALLUSERSPROFILE% \Start Menu\Programs\ Startup\~ .exe
%ALLUSERSPROFILE% \Start Menu\Programs\ Startup\~ .exe.?? ??.exe
????= ارقام متغيره
------------ ----
%Temp%\RarSFX0
%Temp%\irsetup. exe
%Temp%\@2.tmp

%windir%\system32\ ntfsus.exe
%windir%\system32\ wmdrtc32. dll
%windir%\system32\ wmdrtc32. dl_
%windir%\system32\ 894729.log
%windir%\system32\ 118766.log
%windir%\system32\ 119141.log
%windir%\system32\ 118688.log
%windir%\system32\ 118610.log
%windir%\system32\ 122610.log
%windir%\system32\ 122438.log
%windir%\system32\ 118219.log
%windir%\system32\ 118563.log
%windir%\system32\ 118454.log
%windir%\system32\ 119266.log

------------ --------- --------- --------- ---

c:\037589.log c:\~.EXE.??? ?.exe Virus.Win32. Xorer.x النسخة تستخدم وتستبدل ملفات الونرار بنسخه من الفايروس %ProgramFiles% \WinRAR ويجب حذف المجلد بالكاملعمليات الفايروس بالذاكره ( لجميع الاصدارات )

كود:
%windir%\system32\ com\lsass. ex e
%windir%\system32\ com\smss. exe
%ALLUSERSPROFILE% \Start Menu\Programs\ Startup\~ .exe
%ALLUSERSPROFILE% \Start Menu\Programs\ Startup\~ .exe.?? ??.exe
%ProgramFiles% \winrar\uninstal l.exe
%ProgramFiles% \RAR.exe
%Temp%\RarSFX0\ Setup.exe
????.log
c:\~.EXE.??? ?.exe
c:\lsass.exe. ????.exe
c:\SMSS.exe. ????.exe
????= ارقام متغيره

وايضا يقوم بدمج ملفهdnsq.dll بعمليات الملفات التالية

كود:
%Windir%\explorer. exe
%ProgramFiles% \messenger\ msmsg s.exe
%Windir%\dns\ sdnsmain. exe
%ProgramFiles% \internet explorer\iexplore. exe
%Temp%\irsetup. exe
%windir%\system32\ ntfsus.exe
%windir%\system32\ dllhost.exe

مفاتيح لمسجل النظام ,, يقوم بحذفها الفايروس

كود:
[HKEY_LOCAL_ MACHINE\SYSTEM\ Curr entControlSet\ Contro l\SafeBoot \Minimal\{4D36E967- E325-11CE- BFC1-08002BE1031 8}]
(Default) = "DiskDrive"
[HKEY_LOCAL_ MACHINE\SYSTEM\ Curr entControlSet\ Contro l\SafeBoot \Network\{4D36E967- E325-11CE- BFC1-08002BE1031 8}]
(Default) = "DiskDrive"
[HKEY_LOCAL_ MACHINE\SOFTWARE \Mi crosoft\Windows\ Curr entVersion \Explorer\Advanced\ Folder\Supe rHidden]
Type = "radio"

مفاتيح لمسجل النظام ,, يقوم باضافتها الفايروس

كود: HKEY_LOCAL_MACHINE\ SOFTWARE\ Cl asses\CLSID\ {450EC9C 4-0F7F-407F- B084-D1147FE9DDC C}
HKEY_LOCAL_MACHINE\ SOFTWARE\ Cl asses\CLSID\ {D990123 9-34A2-448D- A000-3705544ECE9 D}
HKEY_LOCAL_MACHINE\ SOFTWARE\ Cl asses\Interface\ {2D9 6C4BF-8DCA-4A97- A24A-896FF841AE2 D}
HKEY_LOCAL_MACHINE\ SOFTWARE\ Cl asses\Interface\ {AAC 17985-187F-4457- A841-E60BAE6359C 2}
HKEY_LOCAL_MACHINE\ SOFTWARE\ Cl asses\TypeLib\ {81429 3BA-8708-42E9- A6B7-1BD3172B9DD F}
HKEY_LOCAL_MACHINE\ SOFTWARE\ Cl asses\IFOBJ. IfObjCtr l.1

شرح بالفيديو طريقه الاصابه بفيرس فيرسwin 32 xorer

رابط علي 4shared (http://www.4shared.com/file/74097118/29b526f3/___.html)

رابط علي zshare (http://www.zshare.net/download/5214850404317fa5/)

رابط علي megaupload (http://www.megaupload.com/sa/?d=TXL1Q0LI)

رابط علي rapidshare (http://rapidshare.com/files/169483656/sharh-vires.rar.html)

IO-Mena

12-11-2008, 02:21 PM

موضوع جميل ومهم وشكراً على المعومات ده
والكاسبر سكاى برنامج جميل وقوى

minabobos

12-11-2008, 03:16 PM

شكراً على المعومات ده

zaza2006

12-11-2008, 03:58 PM

شكرا قمر ربنا يعوض تعب محبتك

kamer14

12-11-2008, 04:41 PM

ميرسى لردوددكم الجميله ربنا يبارككم

المتشفع بمارجرجس

03-24-2009, 01:26 PM

ربنا يعوض تعب محبتك واوقتك امين مرسي ليك خالص

Cheeeva

03-24-2009, 01:43 PM

هاي ياشباب
هاي يا قمر
يارب تكون صحتك تمام
علي فكرة الشكل بتاع البطريق ده برنامج صيني أسمه QQ
الصينين بيقولو عليه كوكو
ههههههههههههههههههههههههه ههههههه
المهم ما علينا
الفايرس ده بكل المقايس وصف بأنه معجزة برمجية
ميرسي أوي يا قمر علي الموضوع الجميل
سلام رئيس السلام معاكي(f)

kamer14

03-25-2009, 07:59 PM

هههههههههههههههههههه ميرسى بجد ليك ولردك الجميل وعلى المعلومة ربنا يباركك

armia1987

03-25-2009, 08:37 PM

شكرا على الموضوع الهايل ده

samerco75

03-25-2009, 08:47 PM

اشكرك كتير بس انا عايز برنامج انتى فيرس كويس

ELMAGEK

03-25-2009, 08:55 PM

ههههههههههههههههههههه
دا انا على كدة هقدم هجرة للصين دا عندى
بقالو قرنين وانا خلاص بدئت ارتاح واخد وادى معاه
ربنا يخلهولى واخرجى انتى منها ومش عايز انتى فايرس
هههههههههههههههههههه
مرسى يا قمر الموضوع دا كان ناقص بس اى برنامج انتى فايرس
او كاسبر اسكاى ويبقى فلة بس موضوع جامد
وكويس انى عرفت اسمو عشان لما اجى اتكلم معاه
بعد كدة

kamer14

03-25-2009, 08:57 PM

هههههههههههههههههههه يالهوى هو عندك الف الف الف مبروووووووك عقبالنا كدة ميرسى لردك ربنا يباركك

ايساك

04-28-2009, 11:38 PM

شكرا يا قمر على المعلومات الجميل دى ربنا يعوضك

kamer14

04-28-2009, 11:55 PM

العفو يااايساك وميرسى لردك

monus1960

07-20-2009, 06:36 AM

مشكوررررررررررررررررررررر ر