العضو الأكثر نشاطاً هذا اليوم 
المواصفات الفنية للفيروس ......مهم للجميع
>
>
>المواصفات الفنية للفيروس
>
>
>عند تشغيل فيروس ياماها اول شي يقوم بنسخ نفسه في في ملفات مخفية بهذه الاسماء والامكان
>C:\%System%\WinServices.exe.
>C:\%System%\Nav32_loader.exe
>C:\%System%\Tcpsvs32.exe
>
>يقوم بتحديد مكان مجلد الوندوز وينسخ نفسه في هذه الموقع بصفة ثابته
>وذلك حسب اصدار الوندوز
>NOTE: %System% is a variable. The worm locates the Windows system folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows 2000/NT/), or C:\Windows\System32 (Windows XP).
>
>
>يقوم بعمل صيغة وقانون في الرجستري بالقيمة التالية
>WinServices.exe C:\%System%\WinServices.exe
>
>وفي الرجستري في هذه المواقع
>
>
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\RunServices
>
>وبذلك يقوم الفيروس بتشغيل نفسه كل مرة تقوم بتشغيل الجهاز فيها
>
>يقوم الفيروس باعداد نفسه ليقوم بتشغيل نفسه كل مرة على اساس انه ملف تطبيقي وذلك بتغير قيمته الخاصة في الرجستري
> HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\
open\command
>to
>C:\%System%\WinServices.exe"%1 %*
>
>وقد يقوم الفيروس بنسخ نفسه في مجلد
>\Windows\System
>يقوم الفيروس باغلاق ملفات مكافحة الفيروسات والحماية وذلك بعمل قانون لها يمنعها من ايقاف اي ملف يحمل اي من الاسماء التالية
>المواصفات الخاصة بالايميل
>يقوم الفيروس باستخدام ملقمات البريد الوارد والصادر الخاصة به وذلك ليقوم بارسال نفسه لكل ايميل موجود في ملف الايميلات بنظام التشغيل وندوز او في المسنجر هوت ميل والياهو بيجر وكل الملفات التي تحمل في الاكستنشن الحرفين اتش وتي ويحمل الفيروس اكثر من ملقم بريد وارد وصادر يمكنه استخدامها
>وذلك ببرمجة عبقرية تم بها صنع هذا الفيروس
>
>عنوان رسالة الفيروس عادة تكون
>Are you the BEST
>Free Win32 API source
>Learn SQL 4 Free
>I Love You..
>
>
>والملفات المرفقة لهذا الفيروس عادة تكون بهذه المسميات والامتدادات
>The_Best.scr
>Codeproject.scr
>SQL_4_Free.scr
>I_Love_You.scr
>Stone.scr
>Sex..scr
>Body_Building.scr
>Services.scr
>VXer_The_LoveStory.scr
>Hacker_The_LoveStory.scr
>World_Tour.scr
>up_life.scr
>Sweetheart.scr
>Sexy_Jenna.scr
>Jenna_Jemson.scr
>zDenka.scr
>Ravs.scr
>Free_Love_Screensavers.scr
>Romeo_Juliet.scr
>Hacker.scr
>KOF_Fighting.exe
>KOF_Sample.exe
>KOF_Demo.exe
>KOF_The_Game.exe
>KOF2002.exe
>King_of_Figthers.exe
>KOF.exe
>My_Sexy_Pic.scr
>MyProfile.scr
>Ways_To_Earn_Money.exe
>Beautifull.scr
>Valentines_Day.scr
>zXXX_BROWSER.exe
>Britney_Sample.scr
>THEROCK.scr
>FreakOut.exe
>MyPic.scr
>Notes.exe
>Cupid.scr
>FixElkern.com
>FixKlez.com
>Romantic.scr
>Project.exe
>Love.scr
>friendship_funny.scr
>Colour_of_life.scr
>Life.scr
>Best_friend.scr
>Friend_happy.scr
>True_love.scr
>Gc_messenger_exe
>Dance.scr
>I_like_you.scr
>Friend_finder_exe
>Be_happy.scr
>Sweet.scr
>Shake.scr
>World_of_friendship.scr
>Friendship.scr
>Funny.scr
>Hotmail_hack_exe.scr
>
>
>وعادة يكون اسم المرسل بهذه المسميات
>Klein Anderson
>Codeproject
>SQL Library
>me2K
>Rocking Stone
>Super Soccer
>Sexy Screensavers
>Real Inc.
>Plus 6
>Plus 2
>Playboy Inc.
>Hardcore Screensavers
>XXX Screensavers
>Nomadic Screensavers
>Keanu Stevenson
>Nicolas Schwarzeneggar
>admin@hackersclub.com
>admin@viruswriters.com
>admin@hackers.com
>Paul Owen
>Benting
>Veronica Anderson
>Club Jenna
>Jenna Jameson
>Zdenka Podkapova
>Raveena Pusanova
>Screensavers of Love
>Romeo & Juliet
>Jaucques Antonio Barkinstein
>Cathy Kindergarten
>KOF Online
>Omega Rugal
>Terry Bogard
>Iori Yagami
>Kyo Kusanagi
>Clark Steel
>Ralph Jones
>Jasmine Stevens
>Ross Anderson
>John Vandervochich
>American Beauty
>Valentine Screensavers
>Lovers Screensavers
>zporNstarS
>britneyspears.org
>The Rock
>Noopman
>Susan
>Jonathan
>Cupid
>McAfee Inc.
>Norton Antivirus
>Trend Micro
>Romantic Screensavers
>Jericho
>Love Inc.
>
>and
>info@flashyat.com
>kl@aminoprojects.com
>admin@codeproject.com
>free@sql.library.com
>me@me2K.com
>stone@esterplaza.com
>marketing@suppersoccer.com
>free@sexyscreensavers.com
>sales@real.com
>plus@real.com
>sales@playboy.com
>free@hardcorescreensavers.com
>free@xxxscreensavers.com
>kkn@k2k.comscreensavers@nomadic.com
>nics@nomadic.com
>paul@kqscore.com
>btq@263.com
>services@tcsonline.com
>admin@clubjenna.com
>jenna@jennajameson.com
>zdenka@zpornstars.com
>ravs@go2pussy.com
>love@lovescreensavers.com
>DNA_seraph@163.com
>super@21cn.com
>cathy@21cn.com
>admin@kofonline.com
>zhouyuye@citiz.net
>lubing@7135.com
>hamada@seikosangyo.com
>luoairong@21cn.com
>valentinescreensavers@t2k.com
>screensavers@lovers.com
>admin@zpornstars.com
>newsletters@britneyspears.org
>therock@wwe.com
>ericpan@online.com.pk
>samsun@online.sh.cn
>yjworks@online.sh.cn
>cupid@freescreensavers.com
>av_patch@mcafee.com
>av_patch@norton.com
>av_patch@trendmicro.com
>romanticscreensavers@love.com
>caijob@online.sh.cn
>loverscreensavers@love.com
>
>اذا كان تاريخ جهازك هوه 25 مارس او 22 مايو راح تظهر لك رسالة تقول
>Happy Birthday Dear
>
>
>
>
>واذا كان يوم الجهاز هو الخميس راح يقوم الفيروس بعمل الاتي
>اولا يقوم بعمل عشوائي لوضع الصفحة الرئيسية للمتصفح وذلك بالتحكم في الرجستري
>HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
>
>to one of these:
>على احد هذه العناوين
>
>http:/ /www.unixhideout.com
>http:/ /www.hirosh.tk
>http:/ /www.neworder.box.sk
>http:/ /www.blacksun.box.sk
>http:/ /www.coderz.net
>http:/ /www.hackers.com/html/neohaven.html
>http:/ /www.ankitfadia.com
>http:/ /www.hrvg.tk
>http:/ /www.hackersclub.up.to
>http:/ /geocities.com/snak33y3s
>
>استعادة محتويات المستندات الخاصة بالمستخدم
> HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Explorer\Shell Folders
>
>عمل ملف تكست على سطح المكتب وبحالة مخفية وارشيف ويحتوي الملف على الاتي
> ==================================================
==========
>r0xx pReSaNt$ W32.@YerH$.B (all r1ght$ re$erv3d.. )
>w3 aRe tHe gRe@t 1nD1aN$..
>------------------------------------------------------
>m@iN mIssIoN iS t0 sPreAd tHe nAmE @YerH$
>s00 mUch t0 c0me..
>iNclUdEd DDoS c0mp0neNtS c@usE oF sHiT p@kI l@meRs
>
>eXp3ct th3 uNeXp3ctEd
>
>dEdic@t3d t0 : mY b3$t fRi3nD
> ==================================================
==========
> >> qph@hackermail.com
>or
>
> ==================================================
>W32.@YerH$.B,Made in India,
>wE aRe thE greAt iNdIaNs..
>----------------------------
>aBouT mE :
>jUst a c0mputEr gEEk..
>i tHinK i aM sTill a sCripT kiddiE..
>eDucAtiOn : sCh00l sTudEnt..
>aBouT @YerH$.B:
>n0 dEstrucTivE paYload$ f0r inFecTeD c0mpUteRs.
>teRminAtioN oF aV + FireWaLL f0r sUrvIvaL.
>tImE dEfiNed tRigErRinG.. jUst f0r fUn.. n0 paYloaD.
>c0ntAinS bUg iN rEpliCation c0de.. no tIme t0 fiX.
>g0nNa fiX iT iN nExt rElEase..
>n0 m0rE $hiT
> ==================================================
=
> >> qph@hackermail.com
>
>or
>
> ==================================================
>W32.@YerH$.B,Made in India,
>wE aRe thE greAt iNdIaNs..
>----------------------------
>spEciAl 10x to c0bra..
>f0r inSpirAtIon + c0dIng hElp..
> ==================================================
> >> qph@hackermail.com
>
>or
>
> ==================================================
====
>W32.@YerH$.B,Made in India
>wE aRe thE greAt iNdIaNs..
>----------------------------
>wAnT peAce aNd pr0speRity in InDiA ?..
>f**k tHe c0rruptEd p0litiCian$..no shit$ nEEdeD..
>mErA bhAraT mAhaN ??.. n0t yeT..wE nEEd t0 mAkE iT..
>talenT & hArd w0rK shOulD be rEspEctEd..
>sElf stYleD a**H***$ mUsT bE eLimInatEd....
>n0 m0re $hiT m0n0p0lY..
> ==================================================
====
> >> qph@hackermail.com
>
>or
>
>=============================================== ==
>W32.@YerH$.B,Made in India.
>wE aRe thE greAt iNdiAnS.
>----------------------------
>iNdiAn hAckeRs + vXerS teAm up...
>aNd kicK lamEr a**
>no m0re pAk shIT..
>itZ oUr tiMe to shOw tHem, the p0wer of teaM w0rk.
>f**k AIC,GFORCE,SILVERLORDS,WFD..f*****g k1dd1es..
>no sHit bUsineSS iN heRe aNd
>nO lamE stuFF..
>=============================================== ==
> >> qph@hackermail.com
>
>
>طريقة التخلص من الفيروس
>اذا نزلت الفيروس وشغلته اول شي تعمله هوه تحديث النورتن انتي فايروس
>اعادة تشغيل الجهاز
>نسخ ملف
>Copy Regedit.exe
>الى
>Reg.com
>وذلك حسب الخطوات التالية وحسب نظام التشغيل الخاص بجهازك
>
>
>بعد تعديل الرجستري
>قم باعادة تشغيل الجهاز
>قم بتشغيل برنامج مكافحة الفيروسات واذا لم يقم بتشغيل نفسه
>قم بتحميل المف التالي وهو التحديث الذكي الخاص بازالة هذا الفيروس
>
>
>http://securityresponse.symantec.co....download.html.
>
>لمستخدمين نظام وندوز 95 و 98 يقوم بالذهاب الى
>
>أبدأ ثم البرامج وبعد ذلك يقوم باختيار ايقونه
>
>MS-DOS
>
>وبذلك راح تفتح لك شاشة الدوس
>
>بعد كذا انتقل للخطوة الثانية
>
>اما لو كنت تستخدم نظام وندوز ملينيوم
>
>اذهب الى ابدأ ثم برامج بعد ذلك برامج ملحقة ثم MS-DOS
>
>اما بخصوص مستخدمين وندوز ان تي و 2000
>
>فقم بالذهاب الى ابدأ ثم تشغيل واكتب
>command
>واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
>
>أكتب فيها الامر التالي
>cd \winnt
>
>ثم انتقل للخطوة الثانية
>
>لو كنت تستخدم وندوز اكس بي
>
>فقم بالذهاب الى ابدأ ثم تشغيل واكتب
>command
>واضغط اوكي وبعدها راح تنفتح لك شاشة الدوس
>
>أكتب فيها الامر التالي
>cd \windows
>
>
رد مع اقتباس
a7tag-ansakyمشكور اخي
المفضلات