[فيروس ياها ........ هام جدا]
ـ[محمد التويجري]ــــــــ[01 - 01 - 2003, 03:07 م]ـ
منسوخ من البريد
////////////////////
المواصفات الفنية للفيروس
عند تشغيل فيروس ياماها اول شي يقوم بنسخ نفسه في في ملفات مخفية بهذه الاسماء والامكان
C:\%System%\WinServices.exe.
C:\%System%\Nav32_loader.exe
C:\%System%\Tcpsvs32.exe
يقوم بتحديد مكان مجلد الوندوز وينسخ نفسه في هذه الموقع بصفة ثابته
وذلك حسب اصدار الوندوز
NOTE: %System% is a variable. The worm locates the Windows system folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows 2000/NT/), or C:\Windows\System32 (Windows XP).
يقوم بعمل صيغة وقانون في الرجستري بالقيمة التالية
WinServices.exe C:\%System%\WinServices.exe
وفي الرجستري في هذه المواقع
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
وبذلك يقوم الفيروس بتشغيل نفسه كل مرة تقوم بتشغيل الجهاز فيها
يقوم الفيروس باعداد نفسه ليقوم بتشغيل نفسه كل مرة على اساس انه ملف تطبيقي وذلك بتغير قيمته الخاصة في الرجستري
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
to
C:\%System%\WinServices.exe"%1 %*
وقد يقوم الفيروس بنسخ نفسه في مجلد
\ Windows\System
بهذه الاسماء
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
يقوم الفيروس باغلاق ملفات مكافحة الفيروسات والحماية وذلك بعمل قانون لها يمنعها من ايقاف اي ملف يحمل اي من الاسماء التالية
REGEDIT
ACKWIN32
F-AGNT95
SWEEP95
VET95
N32SCANW
_AVPM
LOCKDOWNADVANCED
NSPLUGIN
NSCHEDNT
NRESQ32
NPSSVC
NOD32
_AVPCC
_AVP32
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
TDS2-98
SCAN32
PCFWALLICON
NSCHED32
IAMSERV.EXE
FRW.EXE
MCAFEE
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
RMVTRJANSAFEWEB
WEBSCANX
PVIEW
ANTIVIR
المواصفات الخاصة بالايميل
يقوم الفيروس باستخدام ملقمات البريد الوارد والصادر الخاصة به وذلك ليقوم بارسال نفسه لكل ايميل موجود في ملف الايميلات بنظام التشغيل وندوز او في المسنجر هوت ميل والياهو بيجر وكل الملفات التي تحمل في الاكستنشن الحرفين اتش وتي ويحمل الفيروس اكثر من ملقم بريد وارد وصادر يمكنه استخدامها
وذلك ببرمجة عبقرية تم بها صنع هذا الفيروس
عنوان رسالة الفيروس عادة تكون
Are you the BEST
Free Win32 API source
Learn SQL 4 Free
I Love You..
Wanna be like a stone ?
Are you a Soccer Fan ?
Sexy Screensavers 4 U
Check it out
Sample Playboy
Hardcore Screensavers 4 U
XXX Screensavers 4 U
We want peace
Wanna be a HE-MAN
Visit us
One Virus Writer's Story
One Hacker's Love
World Tour
Whats up
Wanna be my sweetheart ??
Screensavers from Club Jenna
Jenna 4 U
Free rAVs Screensavers
Feel the fragrance of Love
Wanna Hack ??
Sample KOF 2002
The King of KOF
Wanna Brawl ??
Wanna Rumble ??
Play KOF 2002 4 Free
Demo KOF 2002
Free Demo Game
Wanna be friends ??
Need money ??
Are you beautiful
Who is your Valentine
Free Screenavers of Love
Free XXX
Free Screensavers
WWE Screensavers
Freak Out
Wanna be friends ?
Things to note
Lovers Corner
Patch for Elkern.gen
Patch for Klez.H
Free Screensavers 4 U
Project
Sample Screensavers
Are you in Love
I am in Love
¥