الموضوع: حقيبة النماذج الإدارية - الإصدار الأول

السلام عليكم ورحمة الله وبركاته

مع الأسف البرنامج يحتوي على تروجان "فيروس" ويقوم بعمل نسخ منه في

• %Temp%\[THREAT FILE NAME].exe
• %SystemDrive%\! My Picutre.SCR
• %DriveLetter%\! My Picutre.SCR
• %ProgramFiles%\Startup\[RANDOM NAME].exe

ويقوم بالتعديل على الريجستري للتفعيل عند كل اعادة تشغيل للجهاز

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]"
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run"[DIGITS AND NUMBERS]" = "C:\Documents and Settings\All Users\Application Data\msnco.exe"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run"[DIGITS AND NUMBERS]" = "C:\Documents and Settings\All Users\Application Data\msnco.exe"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer"CleanShutdown" = "0"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List"%Temp%\[THREAT FILE NAME]" = "%Temp%\[THREAT FILE NAME]:*:Enabled:[THREAT FILE NAME]"

ثم يقوم بفتح قنوات اتصال مع العناوين التالية:

• koodk.no-ip.biz:8008
• (يمنع عرض أرقام الهواتف بدون أذن الإدارة).no-ip.biz:1177
• alrewesh3.no-ip.org:1177
• profesor111.no-ip.biz:8521
• 217.66.231.245:1177

بعد الإرتباط يمكن التحكم الكامل بجهاز الضحية.

تحيتي لكم.