معرفي تروجان
می خوام شمارو با تروجن B-S و طرز کار این تروجن اشنا کنم ،این تروجن توسط دوستم بیژن نوشته شده که اولین تروجن ایرانی مخصوص گرفتن پسورد یک ID در یاهو مسنجر، این تروجن ورژین های مختلفی داره که جدیدترین نسخه اون 1.9.1 هست ،این تروجن دارای چند قسمت هستش که در مورد هر کدام براتون توضیح میدم ، در ضمن این تروجن تا 1 ماه پیش Undected بود یعنی طوری که آنتی ویروس ها سرورهای اونو نمی شناختن ولی فعلا آنتی ویروس های آپدیت شده و بروز درامده اونو تشخیص میدن و بعنوان B-S Password Sender به کاربر اخطار میدن .
این تروجن دارای 3 سرور هست که هر کدام وظیفه خاصی دارن ، اطلاعاتی در مورد سرورهای این تروجن :
msn-Server :این سرور مخصوص هک کردن یک آیدی در msn مسنجر که 44 kb حجم داره
net-Server : این فایل نیز یکی دیگه از سرورهای این تروجن محسوب میشه و برای گرفتن شماره کاربر و پسورد اشتراک اون یا Ras Password بکار میره و 44 kbنیز حجم داره ،البته این ورژین B-S کلا برای سیستمهای ویندوز 95-98-mellinium نوشت شده و بخوبی رو این نوع از ویندوزها کار می کنه .
: yahoo-Server بجرأت میتونم بگم که B-S رو همه بخاطر این سرور میشناسن و بخاطر این سرور بود که این تروجن در بین تمام ایرانی ها محبوب شد ،این سرور مخصوص هک کردن و بدست آوردن پسورد یک ID در یاهو مسنجر و در نتیجه هک کردن ایمیل یاهو قربانی این سرور نیز 44kb حجم داره و طریقه حذف کردن فایلهای این سرورو در انتهای ورد کامل توضیح میدم .
B-S edit Server : خب این اطلاعاتی که در بالا دادم در مورد سرورهای این تروجن بود ولی برای این که این سرورهارا برای طرفی که میخواین هکش کنین بفرستین قبلش احتیاج به تنظیم کردن اونها دارین ،این کارو میتونین با edit Server انجام بدین ، بدین صورت که در ابتدا فایل B-S edit Server را باز می کنید ، سپس در قسمت mail setting در قسمت Your E-mail ایمیل خودتونو میدین که اینجا سعی کنید ایمیلی از Hotmail بدین چون این تروجن با هات میل بخوبی کار میکنه و بهتر شما نیز هات میل بدین .خب بعد از دادن ایمیلتون باید Smtp مورد نظرو بدین چون Smtp هات میل چند وقت پیش عوض شد ، تیک داخل مربع Auto Smtp غیر فعال کنین تا خودتون بتونین Smtp جدید هات میلو بدین ، برای این کار در قسمت Smtp Server فعال شده بنویسین : mx01.hotmail.com که این یکی از Smtp های جدید هات میل که این تروجن و اغلب تروجن های دیگه مثل Optix-Barok , ... با این Smtp براحتی کار می کنن
و در انتها در قسمت Fake Message Setting شما میتونین تعیین کنین که وقتی سرور توسط قربانی اجرا و باز میشه آیا Eror بهش داده بشه یا نه که این گزینه دیگه به خودتون بستگی داره اگه مایل بودین که سرور هنگام اجرا شدن Eror بده تیک گزینه enable fake eror message فعال کنین و Eror را انتخاب کنین . خب در مرحله آخر باید سروری که میخواین این تنظیمات در اون ذخیره شه انتخاب کنین برای این کار گزینه Update Server بزنین و یکی از سرورهارو که در خود پوشه تروجن هست انتخاب و Save بزنین تا سرور با مشخصات شما ذخیره شه و این کارهارا برای هر 3 سرور B-S انجام بدین و اونارو تنظیم کنید .
خب شاید شما تعجب کنین که این تروجن چرا client نداره ، چون این تروجن اصلاً احتیاجی به کلاینت برای وصل شدن به سیستم قربانی نداره و تنها کاری که شما برای هک کردن طرف و بدست آوردن پسوردهای اون دارین فرستادن یکی از سرورها برای قربانی و باز کردن آن توسط اون طرف و با این کار بستگی به نوع سرور فرستاده شده پسورد اون براتون ایمیل میشه . خب این توضیحاتی که در بالا دادم ، نحوه چگونگی تنظیم کردن سرورها و نحوه کار با این تروجن بود ولی حالا می خوام کمی درباره چگونگی پاک کردن و حذف کردن فایلهای سرور اجرا شده بروی سیستم خودتون توضیح بدم تا اگه سیستمتون آلوده به این تروجن شد بتونین اونو از این تروجن پاک کنید ، من طریقه پاک کردن سرور یاهو B-S از تو رجیستری توضیح میدم چون این سرور در این تروجن کاربرد بیشتری داره .
طریقه پاک کردن سرور یاهو B-S از سیستم :این سرور بعد از اجرا شدن در قسمت های مختلف سیستم قرار می گیره و در رجیستری میشینه ، وقتی سرور یاهو اجرا میشه یک کپی از خودشو در قسمت windows و در پوشه System قرار میده و با اسم YUpdater.exe و با آیکون یاهو مسنجر در سیستم میشینه ، همان طور که میدونید فایل Yupdater.exe یکی از فایل های اجرایی خود یاهو مسنجر که در پوشه خود یاهو مسنجر و برای آپدیت شدن و بروز در آمدن نسخه باهو مسنجر بکار میره و این فایل سرور یاهو B-S هم بهمین نام ایجاد میشه فقط تنها فرقش اینه که این سرور در پوشه windows/system میشین ولی فایل اجرایی خود یاهو در پوشه خود یاهو مسنجر و شما با این راه میتونین فایل سرور یاهو B-S با فایل خود مسنجر تشخیص بدین و فایل سرورو پاک کنید ، ولی قبل از این کار باید شما فایلهای سرور ایجاد شده در رجیستری و Startup پاک کنین تا بتونین فایل سرور یاهو B-S که YUpdater.exe هست را از پوشه سیستم پاک کنید پس برای این کارهایی که میگم را انجام بدین :
در ابتدا دکمه Start در پایین صفحه ویندوزتون را زده و به قسمت RUN برین و در آنجا تایپ کنید : msconfig و بعد به Startup برید و در آنجا دنبال اسم : YUpdater.exe __________ Sys بگردین که این فایل سرور یاهو B-S هست و خود Sys بمعنی سیستم هست و اگه این فایلرو در startup مشاهده کردین بدونین که سیستمتون به این تروجن آلوده شده و برای اینکه اونو از رو سیستم حذف کنین باید تیک کنار Sys در startup غیر فعال کنین البته در صورتی که کنار Sys نوشته باشه YUpdater.exe" " بعد از غیر فعال کردن فایل سرور در startup دوباره به RUN برید و این بار دستور Regedit تایپ کنین تا به رجیستری سیستمتون برین و بعد این مراحل را طی کنید :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ ===>Sys-YUpdater.exe
و در این قسمت اگه سیستم شما به این تروجن و سرور یاهو این تروجن آلوده باشه شما فایل YUpdater.exe را قطعاً در این قسمت خواهید دید و بعد این فایل را در صورت مشاهده پاک کنید ، ولی این تروجن در چند جای رجیستری می شینه و شما بجزآدرس بالا باید به 2 جای دیگه سر بزنید :
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\ ===>Sys-YUpdater.exe
و همچنین در این قسمت :
HKEY_USERS\.DEFAULT\Software\Microsoft\internet explorer\exploler bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
\FilesNameMRU
و در صورت مشاهده فایل YUpdater.exe در قسمت هایی که گفته شد آنهارا پاک کنید و در آخر به windows/system برین و این فایل را در آنجا نیز پاک کنید و بعد از Restart مطمئن باشید که سیستمتان از وجود این تروجن پاک شده است
خب دوستان این مطالب را بیشتر بخاطر این گفتم که اگر خواستین این تروجن را روی سیستم خودتون تست کنین تا ببینید بهتون ایمیل میاد یا نه ، بعد بتونید تروجنو از روی سیستمتون پاک کنید . البته اگر از یک فایروال شخصی مثل Zone Alarm استفاده کنید وقتی سرور یاهو این تروجن اجرا بشه بهتون Alert داده میشه که فایل YUpdater.exe قصد داره به نت وصل شه و اگه شما قبول کنید و بعد از آن با یک ID دیگه در مسنجر Login کنید آن وقت اگه سرور این تروجن در سیستمتون اجرا شده باشه و شما سرور را با هات میل خودتون تنظیم کرده باشین بعد از 2-3 دقیقه براتون ایمیل میاد که این فقط به عنوان تست و شما میتونین برای هر کسی از طریقه ایمیل و یا مسنجرها سرور تنظیم شده این تروجنو بفرستین و کاری کنین که طرف گول بخوره و سرور را باز کنه
این تروجن دارای 3 سرور هست که هر کدام وظیفه خاصی دارن ، اطلاعاتی در مورد سرورهای این تروجن :
msn-Server :این سرور مخصوص هک کردن یک آیدی در msn مسنجر که 44 kb حجم داره
net-Server : این فایل نیز یکی دیگه از سرورهای این تروجن محسوب میشه و برای گرفتن شماره کاربر و پسورد اشتراک اون یا Ras Password بکار میره و 44 kbنیز حجم داره ،البته این ورژین B-S کلا برای سیستمهای ویندوز 95-98-mellinium نوشت شده و بخوبی رو این نوع از ویندوزها کار می کنه .
: yahoo-Server بجرأت میتونم بگم که B-S رو همه بخاطر این سرور میشناسن و بخاطر این سرور بود که این تروجن در بین تمام ایرانی ها محبوب شد ،این سرور مخصوص هک کردن و بدست آوردن پسورد یک ID در یاهو مسنجر و در نتیجه هک کردن ایمیل یاهو قربانی این سرور نیز 44kb حجم داره و طریقه حذف کردن فایلهای این سرورو در انتهای ورد کامل توضیح میدم .
B-S edit Server : خب این اطلاعاتی که در بالا دادم در مورد سرورهای این تروجن بود ولی برای این که این سرورهارا برای طرفی که میخواین هکش کنین بفرستین قبلش احتیاج به تنظیم کردن اونها دارین ،این کارو میتونین با edit Server انجام بدین ، بدین صورت که در ابتدا فایل B-S edit Server را باز می کنید ، سپس در قسمت mail setting در قسمت Your E-mail ایمیل خودتونو میدین که اینجا سعی کنید ایمیلی از Hotmail بدین چون این تروجن با هات میل بخوبی کار میکنه و بهتر شما نیز هات میل بدین .خب بعد از دادن ایمیلتون باید Smtp مورد نظرو بدین چون Smtp هات میل چند وقت پیش عوض شد ، تیک داخل مربع Auto Smtp غیر فعال کنین تا خودتون بتونین Smtp جدید هات میلو بدین ، برای این کار در قسمت Smtp Server فعال شده بنویسین : mx01.hotmail.com که این یکی از Smtp های جدید هات میل که این تروجن و اغلب تروجن های دیگه مثل Optix-Barok , ... با این Smtp براحتی کار می کنن
و در انتها در قسمت Fake Message Setting شما میتونین تعیین کنین که وقتی سرور توسط قربانی اجرا و باز میشه آیا Eror بهش داده بشه یا نه که این گزینه دیگه به خودتون بستگی داره اگه مایل بودین که سرور هنگام اجرا شدن Eror بده تیک گزینه enable fake eror message فعال کنین و Eror را انتخاب کنین . خب در مرحله آخر باید سروری که میخواین این تنظیمات در اون ذخیره شه انتخاب کنین برای این کار گزینه Update Server بزنین و یکی از سرورهارو که در خود پوشه تروجن هست انتخاب و Save بزنین تا سرور با مشخصات شما ذخیره شه و این کارهارا برای هر 3 سرور B-S انجام بدین و اونارو تنظیم کنید .
خب شاید شما تعجب کنین که این تروجن چرا client نداره ، چون این تروجن اصلاً احتیاجی به کلاینت برای وصل شدن به سیستم قربانی نداره و تنها کاری که شما برای هک کردن طرف و بدست آوردن پسوردهای اون دارین فرستادن یکی از سرورها برای قربانی و باز کردن آن توسط اون طرف و با این کار بستگی به نوع سرور فرستاده شده پسورد اون براتون ایمیل میشه . خب این توضیحاتی که در بالا دادم ، نحوه چگونگی تنظیم کردن سرورها و نحوه کار با این تروجن بود ولی حالا می خوام کمی درباره چگونگی پاک کردن و حذف کردن فایلهای سرور اجرا شده بروی سیستم خودتون توضیح بدم تا اگه سیستمتون آلوده به این تروجن شد بتونین اونو از این تروجن پاک کنید ، من طریقه پاک کردن سرور یاهو B-S از تو رجیستری توضیح میدم چون این سرور در این تروجن کاربرد بیشتری داره .
طریقه پاک کردن سرور یاهو B-S از سیستم :این سرور بعد از اجرا شدن در قسمت های مختلف سیستم قرار می گیره و در رجیستری میشینه ، وقتی سرور یاهو اجرا میشه یک کپی از خودشو در قسمت windows و در پوشه System قرار میده و با اسم YUpdater.exe و با آیکون یاهو مسنجر در سیستم میشینه ، همان طور که میدونید فایل Yupdater.exe یکی از فایل های اجرایی خود یاهو مسنجر که در پوشه خود یاهو مسنجر و برای آپدیت شدن و بروز در آمدن نسخه باهو مسنجر بکار میره و این فایل سرور یاهو B-S هم بهمین نام ایجاد میشه فقط تنها فرقش اینه که این سرور در پوشه windows/system میشین ولی فایل اجرایی خود یاهو در پوشه خود یاهو مسنجر و شما با این راه میتونین فایل سرور یاهو B-S با فایل خود مسنجر تشخیص بدین و فایل سرورو پاک کنید ، ولی قبل از این کار باید شما فایلهای سرور ایجاد شده در رجیستری و Startup پاک کنین تا بتونین فایل سرور یاهو B-S که YUpdater.exe هست را از پوشه سیستم پاک کنید پس برای این کارهایی که میگم را انجام بدین :
در ابتدا دکمه Start در پایین صفحه ویندوزتون را زده و به قسمت RUN برین و در آنجا تایپ کنید : msconfig و بعد به Startup برید و در آنجا دنبال اسم : YUpdater.exe __________ Sys بگردین که این فایل سرور یاهو B-S هست و خود Sys بمعنی سیستم هست و اگه این فایلرو در startup مشاهده کردین بدونین که سیستمتون به این تروجن آلوده شده و برای اینکه اونو از رو سیستم حذف کنین باید تیک کنار Sys در startup غیر فعال کنین البته در صورتی که کنار Sys نوشته باشه YUpdater.exe" " بعد از غیر فعال کردن فایل سرور در startup دوباره به RUN برید و این بار دستور Regedit تایپ کنین تا به رجیستری سیستمتون برین و بعد این مراحل را طی کنید :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ ===>Sys-YUpdater.exe
و در این قسمت اگه سیستم شما به این تروجن و سرور یاهو این تروجن آلوده باشه شما فایل YUpdater.exe را قطعاً در این قسمت خواهید دید و بعد این فایل را در صورت مشاهده پاک کنید ، ولی این تروجن در چند جای رجیستری می شینه و شما بجزآدرس بالا باید به 2 جای دیگه سر بزنید :
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\ ===>Sys-YUpdater.exe
و همچنین در این قسمت :
HKEY_USERS\.DEFAULT\Software\Microsoft\internet explorer\exploler bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
\FilesNameMRU
و در صورت مشاهده فایل YUpdater.exe در قسمت هایی که گفته شد آنهارا پاک کنید و در آخر به windows/system برین و این فایل را در آنجا نیز پاک کنید و بعد از Restart مطمئن باشید که سیستمتان از وجود این تروجن پاک شده است
خب دوستان این مطالب را بیشتر بخاطر این گفتم که اگر خواستین این تروجن را روی سیستم خودتون تست کنین تا ببینید بهتون ایمیل میاد یا نه ، بعد بتونید تروجنو از روی سیستمتون پاک کنید . البته اگر از یک فایروال شخصی مثل Zone Alarm استفاده کنید وقتی سرور یاهو این تروجن اجرا بشه بهتون Alert داده میشه که فایل YUpdater.exe قصد داره به نت وصل شه و اگه شما قبول کنید و بعد از آن با یک ID دیگه در مسنجر Login کنید آن وقت اگه سرور این تروجن در سیستمتون اجرا شده باشه و شما سرور را با هات میل خودتون تنظیم کرده باشین بعد از 2-3 دقیقه براتون ایمیل میاد که این فقط به عنوان تست و شما میتونین برای هر کسی از طریقه ایمیل و یا مسنجرها سرور تنظیم شده این تروجنو بفرستین و کاری کنین که طرف گول بخوره و سرور را باز کنه
اشتراک در:
نظرات پیام (Atom)
0 نظرات:
ارسال یک نظر