.:. .:. HACK BOYS .:. .:.

 

سلام دوستان ، در اين ورد ميخوام شمارو با تروجن B-S و طرز کار اين تروجن اشنا کنم ،اين تروجن توسط دوستم بيژن نوشته شده که اولين تروجن ايراني مخصوص گرفتن پسورد يک ID در ياهو مسنجر، اين تروجن ورژين هاي مختلفي داره که جديدترين نسخه اون ۱.۹.۱ هست ،اين تروجن داراي چند قسمت هستش که در مورد هر کدام براتون توضيح ميدم ، در ضمن اين تروجن تا ۱ ماه پيش Undected بود يعني طوري که آنتي ويروس ها سرورهاي اونو نمي شناختن ولي فعلا آنتي ويروس هاي آپديت شده و بروز درامده اونو تشخيص ميدن و بعنوان B-S Password Sender به کاربر اخطار ميدن .
اين تروجن داراي ۳ سرور هست که هر کدام وظيفه خاصي دارن ، اطلاعاتي در مورد سرورهاي اين تروجن :
msn-Server :اين سرور مخصوص هک کردن يک آيدي در msn مسنجر که ۴۴ kb حجم داره
net-Server : اين فايل نيز يکي ديگه از سرورهاي اين تروجن محسوب ميشه و براي گرفتن شماره کاربر و پسورد اشتراک اون يا Ras Password بکار ميره و ۴۴ kbنيز حجم داره ،البته اين ورژين B-S کلا براي سيستمهاي ويندوز ۹۵-۹۸-mellinium نوشت شده و بخوبي رو اين نوع از ويندوزها کار مي کنه .
: yahoo-Server بجرأت ميتونم بگم که B-S رو همه بخاطر اين سرور ميشناسن و بخاطر اين سرور بود که اين تروجن در بين تمام ايراني ها محبوب شد ،اين سرور مخصوص هک کردن و بدست آوردن پسورد يک ID در ياهو مسنجر و در نتيجه هک کردن ايميل ياهو قرباني اين سرور نيز ۴۴kb حجم داره و طريقه حذف کردن فايلهاي اين سرورو در انتهاي ورد کامل توضيح ميدم .
B-S edit Server : خب اين اطلاعاتي که در بالا دادم در مورد سرورهاي اين تروجن بود ولي براي اين که اين سرورهارا براي طرفي که ميخواين هکش کنين بفرستين قبلش احتياج به تنظيم کردن اونها دارين ،اين کارو ميتونين با edit Server انجام بدين ، بدين صورت که در ابتدا فايل B-S edit Server را باز مي کنيد ، سپس در قسمت mail setting در قسمت Your E-mail ايميل خودتونو ميدين که اينجا سعي کنيد ايميلي از Hotmail بدين چون اين تروجن با هات ميل بخوبي کار ميکنه و بهتر شما نيز هات ميل بدين خب بعد از دادن ايميلتون بايد Smtp مورد نظرو بدين چون Smtp هات ميل چند وقت پيش عوض شد ، تيک داخل مربع Auto Smtp غير فعال کنين تا خودتون بتونين Smtp جديد هات ميلو بدين ، براي اين کار در قسمت Smtp Server فعال شده بنويسين : mx01.hotmail.com که اين يکي از Smtp هاي جديد هات ميل که اين تروجن و اغلب تروجن هاي ديگه مثل Optix-Barok , ... با اين Smtp براحتي کار مي کنن
و در انتها در قسمت Fake Message Setting شما ميتونين تعيين کنين که وقتي سرور توسط قرباني اجرا و باز ميشه آيا Eror بهش داده بشه يا نه که اين گزينه ديگه به خودتون بستگي داره اگه مايل بودين که سرور هنگام اجرا شدن Eror بده تيک گزينه enable fake eror message فعال کنين و Eror را انتخاب کنين . خب در مرحله آخر بايد سروري که ميخواين اين تنظيمات در اون ذخيره شه انتخاب کنين براي اين کار گزينه Update Server بزنين و يکي از سرورهارو که در خود پوشه تروجن هست انتخاب و Save بزنين تا سرور با مشخصات شما ذخيره شه و اين کارهارا براي هر ۳ سرور B-S انجام بدين و اونارو تنظيم کنيد
خب شايد شما تعجب کنين که اين تروجن چرا client نداره ، چون اين تروجن اصلاً احتياجي به کلاينت براي وصل شدن به سيستم قرباني نداره و تنها کاري که شما براي هک کردن طرف و بدست آوردن پسوردهاي اون دارين فرستادن يکي از سرورها براي قرباني و باز کردن آن توسط اون طرف و با اين کار بستگي به نوع سرور فرستاده شده پسورد اون براتون ايميل ميشه . خب اين توضيحاتي که در بالا دادم ، نحوه چگونگي تنظيم کردن سرورها و نحوه کار با اين تروجن بود ولي حالا مي خوام کمي درباره چگونگي پاک کردن و حذف کردن فايلهاي سرور اجرا شده بروي سيستم خودتون توضيح بدم تا اگه سيستمتون آلوده به اين تروجن شد بتونين اونو از اين تروجن پاک کنيد ، من طريقه پاک کردن سرور ياهو B-S از تو رجيستري توضيح ميدم چون اين سرور در اين تروجن کاربرد بيشتري داره
طريقه پاک کردن سرور ياهو B-S از سيستم :اين سرور بعد از اجرا شدن در قسمت هاي مختلف سيستم قرار مي گيره و در رجيستري ميشينه ، وقتي سرور ياهو اجرا ميشه يک کپي از خودشو در قسمت windows و در پوشه System قرار ميده و با اسم YUpdater.exe و با آيکون ياهو مسنجر در سيستم ميشينه ، همان طور که ميدونيد فايل Yupdater.exe يکي از فايل هاي اجرايي خود ياهو مسنجر که در پوشه خود ياهو مسنجر و براي آپديت شدن و بروز در آمدن نسخه باهو مسنجر بکار ميره و اين فايل سرور ياهو B-S هم بهمين نام ايجاد ميشه فقط تنها فرقش اينه که اين سرور در پوشه windows/system ميشين ولي فايل اجرايي خود ياهو در پوشه خود ياهو مسنجر و شما با اين راه ميتونين فايل سرور ياهو B-S با فايل خود مسنجر تشخيص بدين و فايل سرورو پاک کنيد ، ولي قبل از اين کار بايد شما فايلهاي سرور ايجاد شده در رجيستري و Startup پاک کنين تا بتونين فايل سرور ياهو B-S که YUpdater.exe هست را از پوشه سيستم پاک کنيد پس براي اين کارهايي که ميگم را انجام بدين :
در ابتدا دکمه Start در پايين صفحه ويندوزتون را زده و به قسمت RUN برين و در آنجا تايپ کنيد : msconfig و بعد به Startup بريد و در آنجا دنبال اسم : YUpdater.exe __________ Sys بگردين که اين فايل سرور ياهو B-S هست و خود Sys بمعني سيستم هست و اگه اين فايلرو در startup مشاهده کردين بدونين که سيستمتون به اين تروجن آلوده شده و براي اينکه اونو از رو سيستم حذف کنين بايد تيک کنار Sys در startup غير فعال کنين البته در صورتي که کنار Sys نوشته باشه YUpdater.exe" " بعد از غير فعال کردن فايل سرور در startup دوباره به RUN بريد و اين بار دستور Regedit تايپ کنين تا به رجيستري سيستمتون برين و بعد اين مراحل را طي کنيد :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ ===>Sys-YUpdater.exe
و در اين قسمت اگه سيستم شما به اين تروجن و سرور ياهو اين تروجن آلوده باشه شما فايل YUpdater.exe را قطعاً در اين قسمت خواهيد ديد و بعد اين فايل را در صورت مشاهده پاک کنيد ، ولي اين تروجن در چند جاي رجيستري مي شينه و شما بجزآدرس بالا بايد به ۲ جاي ديگه سر بزنيد :
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\ ===>Sys-YUpdater.exe
و همچنين در اين قسمت :
HKEY_USERS\.DEFAULT\Software\Microsoft\internet explorer\exploler bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
\FilesNameMRU
و در صورت مشاهده فايل YUpdater.exe در قسمت هايي که گفته شد آنهارا پاک کنيد و در آخر به windows/system برين و اين فايل را در آنجا نيز پاک کنيد و بعد از Restart مطمئن باشيد که سيستمتان از وجود اين تروجن پاک شده است .
خب دوستان اين مطالب را بيشتر بخاطر اين گفتم که اگر خواستين اين تروجن را روي سيستم خودتون تست کنين تا ببينيد بهتون ايميل مياد يا نه ، بعد بتونيد تروجنو از روي سيستمتون پاک کنيد . البته اگر از يک فايروال شخصي مثل Zone Alarm استفاده کنيد وقتي سرور ياهو اين تروجن اجرا بشه بهتون Alert داده ميشه که فايل YUpdater.exe قصد داره به نت وصل شه و اگه شما قبول کنيد و بعد از آن با يک ID ديگه در مسنجر Login کنيد آن وقت اگه سرور اين تروجن در سيستمتون اجرا شده باشه و شما سرور را با هات ميل خودتون تنظيم کرده باشين بعد از ۲-۳ دقيقه براتون ايميل مياد که اين فقط به عنوان تست و شما ميتونين براي هر کسي از طريقه ايميل و يا مسنجرها سرور تنظيم شده اين تروجنو بفرستين و کاري کنين که طرف گول بخوره و سرور را باز کنه
دوستاني که مايل به کار با اين تروجن هستن ميتونن جديدترين ورژين اونو از من بخواهن تا براشون بفرستم
+ احسان شیطون ; ۱۱:٠٠ ‎ق.ظ ; شنبه ۱۸ آبان ،۱۳۸۱
comment نظرات ()