"مسام" ينتزع نصف مليون لغم حوثي خلال 7 أعوام    مراجعات جذرية لا تصريحات آنية    الحوثيون يقرّون التحشيد الإجباري في الحديدة بدعوى نصرة إيران    الجيش الإسرائيلي: صاروخ إيراني انقسم لصواريخ صغيرة عند انفجاره بتل أبيب واصاب عشرات الإسرائيليين    كأس العالم للاندية : ميسي يقود انتر ميامي لفوز ثمين على بورتو    المعبقي يكشف عن اجراءات نقل مقرات البنوك إلى عدن وكيف ستتعامل مع فروعها في مناطق سلطة صنعاء    الجيش الإسرائيلي: اعترضنا 95% من الصواريخ والمسيرات الإيرانية    ذمار تضيق على نسائها    صنعاء تعلن مبادرة فتح طريق عقبة القنذع بشبوع    عرس جماعي ل 58 عريسا وعروس في البيضاء    خيانة عظمى.. علي ناصر محمد يتباهى بمنع انضمام الجنوب لمجلس التعاون الخليجي    عمال قطاع S2 العقلة شبوة يهددون بوقف شحن النفط لكهرباء الرئيس ويحملون وزارة النفط المسئولية    من عدن إلى الضمير العالمي    تعادل إيجايي بين السهام والصحة في بطولة البراعم لأندية تعز    السيد القائد: عملياتنا مستمرة .. وحظر الملاحة مسيطر عليه بشكل تام    فعاليتان للإصلاحية المركزية ومركز الحجز الاحتياطي بإب بيوم الولاية    ترتيبات لإنشاء محطتي كهرباء في اب بقدرة 5.5 ميجاوات    الموضوع الأهم من "وقف إطلاق النار" لترامب في الحرب بين إيران والكيان الصهيوني؟    السيد القائد: مع كل الوحشية الإسرائيلية لا يزال في غزة صمود عظيم    جماعة الإخوان الوجه الحقيقي للفوضى والتطرف.. مقاولو خراب وتشييد مقابر    صنعاء .. اعلان نتيجة اختبارات الشهادة الأساسية    في ذكرى رحيل هشام باشراحيل.. حين قاوم القلم عسكرة الحياة المدنية    الصين تنشر قائمة ب20دولة قصفتها أمريكا خلال 80 عاما    مناقشة تنفيذ مشروع شبكة الصرف الصحي في مدينة البيضاء    سامسونغ Samsung تصنع أجهزة جوالات للتجسس الإسرائيلي لمنطقة الشرق الأوسط    شبوة أبتليت بجار السوء.. مأرب موطن القتلة والمجرمين وقاطعي الطرق    من يومياتي في أمريكا .. هنا أموت كل يوم    تصريحات بلا أثر.. ومواطن يئن تحت وطأة الجوع والانهيار    كوستاريكا تقلب الطاولة على الدومينيكان    اليوم نتائج الشهادة الاساسية وهذه طريقة الحصول على النتيجة    كيف تواجه الأمة الإسلامية واقعها اليوم (2)    انهيار متواصل للريال اليمني.. أسعار الصرف تواصل التدهور في عدن    شكر الله سعيكم.. نريد حكومة كفاءات    إصابة 3 مواطنين إثر 4 صواعق رعدية بوصاب السافل    الخطوط الجوية اليمنية... شريان وطن لا يحتمل الخلاف    مباراة تاريخية للهلال أمام ريال مدريد    الهلال السعودي يتعادل مع ريال مدريد في كأس العالم للأندية    الصبر مختبر العظمة    الفريق السامعي: ما يحدث ل"إيران" ليس النهاية ومن لم يستيقظ اليوم سيتفاجأ بالسقوط    مواطنون يشكون منع النقاط الامنية ادخال الغاز إلى غرب محافظة الضالع    اعتقال صحفي في محافظة حضرموت    كندة: «ابن النصابة» موجّه.. وعمرو أكبر الداعمين    لملس يزور الفنان المسرحي "قاسم عمر" ويُوجه بتحمل تكاليف علاجه    رسميا.. برشلونة يضم خوان جارسيا حتى 2031    الرهوي يناقش التحضيرات الجارية للمؤتمر الدولي الثالث للرسول الأعظم    مدارج الحب    لاعبو الأهلي تعرضوا للضرب والشتم من قبل ميسي وزملائه    شرب الشاي بعد الطعام يهدد صحتك!    الصحة العالمية: اليمن الثانية إقليميا والخامسة عالميا في الإصابة بالكوليرا    من يومياتي في أمريكا .. بوح..!    حوادث السير تحصد حياة 33 شخصاً خلال النصف الأول من يونيو الجاري    استعدادًا لكأس الخليج.. الإعلان عن القائمة الأولية لمعسكر منتخب الشباب تحت 20 عاما    على خلفية أزمة اختلاط المياه.. إقالة نائب مدير مؤسسة المياه والصرف الصحي بعدن    طبيب يفند خرافات شائعة عن ورم البروستاتا الحميد    بالأدلة التجريبية.. إثبات وجود ذكاء جماعي لدى النمل!    صنعاء .. التربية والتعليم تعمم على المدارس الاهلية بشأن الرسوم الدراسية وعقود المعلمين وقيمة الكتب    وزير الصحة يترأس اجتماعا موسعا ويقر حزمة إجراءات لاحتواء الوضع الوبائ    اغتيال الشخصية!    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



دودة الباغل تجدد نفسها والتروجان يصدر أول نسخة من «البادبارتي»
البيان نشر في المؤتمر نت يوم 27 - 03 - 2004

يبدو ان دودة الباغل لن تهدأ فهي مستمرة في اصدار نسخ جديدة ومتعددة منها، فخلال الاسبوع الماضي ظهرت الباغل كيو BAGLE-Q وهي فيروس بريد الكتروني واسع الانتشار بشكل غير اخلاقي عبر رسالة تحمل الفيروس بدون أن تحتوي على مرفقات وبمجرد فتح الرسالة يدخل الفيروس للحاسب.
والرسالة تحمل الصفات التالية:
اسم الراسل يحمل كلمات فارغة ليست ذات معنى أما خانة موضوع الرسالة فهو كالآتي:
RE: MSG REPLY
RE: HELLO
RE: YAHOO
RE: THANK YOU
RE: THANKS:
RE: TEXT MESSAGE
RE: DOCMENT INCOMING MESSAGE
RE: INCOMAING MESAGE
RE: INCOMING FAX HIDDEN MESSAGE
RECEIVED PROTECTED MESSAGE
ولا يوجد نص للرسالة.
عناوين البريد الالكتروني جميعها يتم حصدها من القرص الصلب الخاص بالاجهزة المصابة وذلك بالبحث عن ملفات تحتوي على هذه الاشتقاقات:
SHTM,HTM,MSG,TEXT,WAB,STM,
XML,DBX,MBX,MDX,EML,NCH
,MMF,0DS,CFG,ASP,PHP,WSH,
ADB,TBB,SHT,6XLS,OFT
والباغل ليتو تتجنب العناوين التي تحتوي على الآتي:
@AVP NOREBLY LOCAL ROOT@POSTMASTER
@@HOTMAIL@MSN@MICROSOFTRATING@ F-
SECUR ANYONE@BUGS@ CONTRACT@
FEST GOLD-CERTS @HELP@INFO NOBODY
@NONE@KASP ADMIN ICROSOFT SUPPORT
NTIVI UNIX LINUX LISTSERV CERTIFIC SOPHO
@ FOO @IANA FREE-AV@MESSAGELABWNZIP
GOOGLE WINRAR SAMPLIES ABUSE PANDA CAFEE SPAM
عندما نفتح الرسالة الحاملة للفيروس تحاول استغلال المناطق الضعيفة في الاوت لوك وهذا يؤدي الى تحميل الفيروس اوتوماتيكيا من عنوان ال IP الخاص بالكمبيوتر المصاب ثم تنتقل الى الخادم الخاص به ومنه الى حواسب أخرى.وتوفر مايكروسوفوت داخل MAICROSOFT SECURITY BULLETIN MSO3-040 أدوات لتقوية مناطق الضعف بالأوت لوك.
هناك نسخة أخرى من الباغل وهي BAGLE-R وهي تضم داخلها نسختين متطورتين هما BAGLE -S وBAGLE-T وهي ايضا فيروسات بريد الكتروني ولا تحمل الرسالة الحاملة للفيروس مرفقات وتصل في الشكل التالي:
اسم المرسل يحتوي على كلمات فارغة بينما يختار عنوانا للموضوع بشكل عشوائي من التالي:
RE: MSG REPLY
RE: HELLO
RE: YAHOO
RE: THANK YOU
RE: THANKS:
RE: TEXT MESSAGE
RE: DOCMENT INCOMING MESAGE
ولا يوجد ايضا نص للرسالة مرئي وهو يحصد العناوين من القرص الصلب للرسائل المصابة ايضا ويبحث عن ملفات تحتوي على مشتقات مشابهة للنسخة السابقة BAGLE-Q ويتجنب ايضا العناوين التي تحتوي على ماسبق وعرضناه.
نسخة اخرى من الباغل وهي BAGLE-HTML وهي يتم ارسالها عن طريق BAGLE-Q وBAGLE-R وهي تتجنب علاجات المايكروسوفت بارسال نفسها عن طريق حاسبات وسيطة.
ويعود ايضا للساحة فيروس الاغوبوت في نسختين هما AGOBOT-FG وAGOBOT-ED وهي دودة شبكية تسمح با لدخول لغير المخول لهم الى الحاسب عبر قنوات ال IRC ويحاول ان تنسخ نفسها على الشبكات المشتركة مستخدمة كلمات سر ضعيفة وتحاول ان تنشر داخل الحاسبات مستخدمة ال DOCOMRPC وال RBC الذين يبحثون عن مناطق الضعف بالنوافذ وهي التي تسمح للدودة ان تستغل شفرتها على الحواسب المستهدفة مستخدمة مستوى مميزات النظام للحصول على معلومات اضافية عن اماكن الضعف هذه في النوافذ يمكن الذهاب الى MAICROSOFT SECURITY BULLETIN MS03-03G
والاغوبوت تنسخ نفسها على مجلد نظام النوافذ باسم EXPLORED.EXERT وتكون اسماء دخول في الاماكن التالية لتشغل نفسها تلقائيا عند البداية:
HKLM/SOFTWARE/MICROSOFT/
WINDOSWS/CURRENT
VERSION/RUNHKLM/SOF
TWARE/MICROSOFT/WINDOWS/
CURRENT VERSION/RUN SERVICES
لم تتقاعس التروجانات عن تجديد نفسهاواثبات وجودها على الساحة فقد اصدر البيرو نسخة جديدة هي BDOOR-CCK وهو تروجان ابواب خلفية وهذا البرنامج يمكن ان يسقط الملف داخل مجلد النوافذ للمساعدة ويسقط ايضا ملف TROJAN داخل مجلد النوافذ.
التروجان سيقوم ايضا بتكوين تسجيلات الدخول التالية ليشغل نفسه في كل مرة تبدأ فيها الحاسب:
HKLM/SOFTWARE/MICROSOFT/
WINDOSWS/CURRENT VERSION/RUN
BLSS=
HKLM/SOFTWARE/BLSS/
INSTALLDATE=
«باد بارتي» تروجان جديد هي BADPARTY
وهو يظهر صندوق رسالة تحتوي النص التالي:
PREMOK TO INSTALE THE PARTY INNITATION
وعندما يضغط المستخدم OK يلغي قسم الجداول في قطاع MASTER BOOT ومحتويات ال FAT ثم يبدأ في تكوين قسم جديد بالجداول.
وهذا التروجان يكون الملفات التالية والتي تعد نسخا من الاستخدامات الشرعية:
INT86-16.DLL,INT86-32.DLL,PLAYME.EXE,PARTY.INI
في مجلد النوافذ.

انقر هنا لقراءة الخبر من مصدره.