الرحال 1
15th December 2005, 08:59 PM
بسم الله الرحمن الرحيم
فيروس Skulls وأنواعه
لهذا الفيروس مايقارب 13 نوع وجميعها تقريباً متشابهة وسنناقش بالتفصيل أهم هذه الأنواع.
http://www.ss60.com/wp-images/skulls.jpg
Skulls.A:
يأتي اسم الملف عند التثبيت Extended theme.SIS ويدّعي بأنه Theme Manager لأجهزة نوكيا 7610 .
بعد تثبيت الفيروس يتم تحويل كل الصور والأيقونات في الجوال إلى جماجم ثم يقوم بعد ذلك بإبطال عمل الهاتف بالكامل فيقوم الهاتف فقط باستقبال وإرسال المكالمات لا أكثر.
يمكن لهذا الفيروس أن يصيب أجهزة نوكيا Series 80 مثل 9500.
http://www.ss60.com/wp-images/skulls_b_cabir.jpg
فيروس MetalGear trojan:
مقدمة:
اسمه الحقيقي MGDropper وهما نوعان الأول: MGDropper.A والثاني: MGDropper.B.
يعتبر MetalGear trojan أول فيروس يقوم بتعطيل برامج الحماية على أجهزة الجوال ، ليس هذا فحسب بل يقوم أيضاً بتعطيل برامج التصفح الخاصة بالإنترنت على الهاتف ويقوم بتثبيت Cabir.G في الجهاز.
اسم الفيروس MetalGear مأخوذ من اسم للعبة تعمل على الهواتف النقالة وهي لعبة خالية من أي مشاكل أوفيروسات ولكن تم استغلال هذا الإسم المشهور لكي ينتشر بسرعة أكبر.
http://www.ss60.com/wp-images/skulls_d.jpg
نبدأ بـ MGDropper.A واسمه عند تثبيته Metal_gear.sis ويقوم بتعطيل برامج الحماية ويقوم أيضاً بتعطيل برامج التصفح الخاصة بالإنترنت على الهاتف ويقوم بتثبيت Cabir.G في الجهاز.
بعدها يبدأ Cabir.G بالإنتشار والبحث عن أجهزة أخرى عن طريق البلوتوث. الملف الذي يتم إرساله من جهاز الضحية إلى الأجهزة الأخرى هو ملف Cabir.G وليس MGDropper.A ، ويقوم هذا الفيروس أيضاً بنشر فيروس Cabir.G تحت مسمى آخر مثل SEXXXY.SIS والذي يقوم بتعطيل قائمة البرامج في الجهاز
http://www.ss60.com/wp-images/Velasco_a_install.jpg
ثم يأتي بعد ذلك MGDropper.B واسمه عند تثبيته MetalGear_by_scar69.sis ووظيفته تثبيت MGDropper.A بالإضافة إلى Cabir.X ، وكما قلنا سابقاً بأن الملف الذي يتم إرساله من جهاز الضحية إلى الأجهزة الأخرى هو ملف Cabir.X وليس MGDropper
فيروس Cabir:
هذا الفيروس منتشر بالكويت انتشار مو طبيعي
وله اسمان هما EPCC/Cabir و SymbOS/Cabir . وينتقل هذا الفيروس عن طريق البلوتوث حيث يكون اسمه عند استقباله في الجهاز الآخر (الضحية) Caribe.sis وستجده في البريد الوارد (Inbox) وعند الضغط عليه وتثبيته يقوم هذا الفيروس بالعمل مباشرة ونشر نفسه من جهاز إلى آخر عن طريق البلوتوث.
ملاحظة:
الأجهزة التي لاتحتوي على بلوتوث لايمكن لفيروس Cabir من الوصول إليها إلا عن طريق فيروس آخر وأقصد بفيروس آخر هي الفيروسات التي تنتقل عن طريق الرسائل ، كما أنك لو جعلت البلوتوث في جهازك مخفي Hidden فإنه لايمكن لفيروس Cabire من اكتشاف جهازك وبذلك تضمن سلامة جهازك من هذا الفيروس.
عند تثبيت الفيروس في الجهاز فإن ملفات الفيروس يتم تثبيتها في المسارات التالية:
c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
وعندما يكون ملف الـ caribe.app منفّذ فإنه يتم نسخ الملفات التالية:
flo.mdl to c:\system\recogs
caribe.app to c:\system\symbiansecuredata\caribesecuritymanager
caribe.rsc to c:\system\symbiansecuredata\caribesecuritymanager
ثم يبدأ بعد ذلك بإعادة إنشاء ملف caribe.sis مرة ثانية ويبحث بالبلوتوث عن الأجهزة التي تعمل فيها البلوتوث وليست مخفية (Hidden) ويبدأ بإرسالها
http://img433.imageshack.us/img433/4551/cabirinstall4up.jpg
Skulls.B:
يأتي اسم الملف عند التثبيت Icons.SIS وهو مشابه لسابقه إلا أنه يقوم بوضع Cabir.B في الجهاز ولكنه لن يعمل إلا إذا ضغطت على أيقونته الموجودة في القائمة وبعدها يبدأ فيروس Cabir البحث عن أجهزة تعمل بها بلوتوث ليبدأ بإرسال الفيروس إليها.
Skulls.C:
يأتي اسم الملف عند التثبيت Skull.sis وهو مثل سابقيه ولكن يضع Cabir.F بدلاً من Cabir.B
Skulls.D:
وهذا النوع خطير بعض الشيء لأنه يتظاهر بأنه برنامج Macromedia Flash player لأجهزة نوكيا Series 60 ، كما أنه يضع Cabir.M في الجهاز.
ويوجد أيضاً Skuls.F وهي نسخة معدلة من Skuls.D ويأتي تحت اسم Simworks.SIS أو WMAcodec.sis .
فيروس Lasco.A:
اسمه عند التثبيت Velasco وينتقل هذا النوع من الفيروسات عبر البلوتوث أو بوضع نفسه في ملفات الـ SIS الموجودة في الجهاز.
يعتبر هذا النوع من الفيروسات أول فيروس يقوم باستخدام طريقتين مختلفتين في التنقل في نفس الوقت. وكما ذكرت شركات الحماية أن هذا الفيروس سوف يبدأ بالعمل وذلك بعد الضغط على ملف الـ SIS المصاب. أحد الأعراض التي قد تدل على وجود فيروس Lasco في الجهاز هي أن مؤشر البطارية يبين لك أن البطارية قد شارفت على الإنتهاء رغم أن الجهاز لايزال به طاقة كافية للعمل لساعات.
ملاحظة:
لو جعلت البلوتوث في جهازك مخفي Hidden فإنه لايمكن لفيروس Lasco من اكتشاف جهازك وبالتالي عدم وصوله إليك وبذلك تضمن سلامة جهازك من هذا الفيروس.
عند تثبيت الفيروس في الجهاز فإن ملفات الفيروس يتم تثبيتها في المسارات التالية:
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
وعندما يكون ملف الـ velasco.app منفّذ فإنه يتم نسخ الملفات التالية:
flo.mdl to c:\system\recogs
velasco.app to c:\system\symbiansecuredata\velasco
velasco.rsc to c:\system\symbiansecuredata\velasco
ثم يبدأ بعد ذلك بإعادة إنشاء ملف Lasco.A مرة ثانية ويبحث عن ملفات الـ SIS الموجودة في الجهاز ويضع نفسه فيها ثم يبحث بالبلوتوث عن الأجهزة التي تعمل فيها البلوتوث وليست مخفية (Hidden) ويبدأ بإرسالها.
فيروس Skulls وأنواعه
لهذا الفيروس مايقارب 13 نوع وجميعها تقريباً متشابهة وسنناقش بالتفصيل أهم هذه الأنواع.
http://www.ss60.com/wp-images/skulls.jpg
Skulls.A:
يأتي اسم الملف عند التثبيت Extended theme.SIS ويدّعي بأنه Theme Manager لأجهزة نوكيا 7610 .
بعد تثبيت الفيروس يتم تحويل كل الصور والأيقونات في الجوال إلى جماجم ثم يقوم بعد ذلك بإبطال عمل الهاتف بالكامل فيقوم الهاتف فقط باستقبال وإرسال المكالمات لا أكثر.
يمكن لهذا الفيروس أن يصيب أجهزة نوكيا Series 80 مثل 9500.
http://www.ss60.com/wp-images/skulls_b_cabir.jpg
فيروس MetalGear trojan:
مقدمة:
اسمه الحقيقي MGDropper وهما نوعان الأول: MGDropper.A والثاني: MGDropper.B.
يعتبر MetalGear trojan أول فيروس يقوم بتعطيل برامج الحماية على أجهزة الجوال ، ليس هذا فحسب بل يقوم أيضاً بتعطيل برامج التصفح الخاصة بالإنترنت على الهاتف ويقوم بتثبيت Cabir.G في الجهاز.
اسم الفيروس MetalGear مأخوذ من اسم للعبة تعمل على الهواتف النقالة وهي لعبة خالية من أي مشاكل أوفيروسات ولكن تم استغلال هذا الإسم المشهور لكي ينتشر بسرعة أكبر.
http://www.ss60.com/wp-images/skulls_d.jpg
نبدأ بـ MGDropper.A واسمه عند تثبيته Metal_gear.sis ويقوم بتعطيل برامج الحماية ويقوم أيضاً بتعطيل برامج التصفح الخاصة بالإنترنت على الهاتف ويقوم بتثبيت Cabir.G في الجهاز.
بعدها يبدأ Cabir.G بالإنتشار والبحث عن أجهزة أخرى عن طريق البلوتوث. الملف الذي يتم إرساله من جهاز الضحية إلى الأجهزة الأخرى هو ملف Cabir.G وليس MGDropper.A ، ويقوم هذا الفيروس أيضاً بنشر فيروس Cabir.G تحت مسمى آخر مثل SEXXXY.SIS والذي يقوم بتعطيل قائمة البرامج في الجهاز
http://www.ss60.com/wp-images/Velasco_a_install.jpg
ثم يأتي بعد ذلك MGDropper.B واسمه عند تثبيته MetalGear_by_scar69.sis ووظيفته تثبيت MGDropper.A بالإضافة إلى Cabir.X ، وكما قلنا سابقاً بأن الملف الذي يتم إرساله من جهاز الضحية إلى الأجهزة الأخرى هو ملف Cabir.X وليس MGDropper
فيروس Cabir:
هذا الفيروس منتشر بالكويت انتشار مو طبيعي
وله اسمان هما EPCC/Cabir و SymbOS/Cabir . وينتقل هذا الفيروس عن طريق البلوتوث حيث يكون اسمه عند استقباله في الجهاز الآخر (الضحية) Caribe.sis وستجده في البريد الوارد (Inbox) وعند الضغط عليه وتثبيته يقوم هذا الفيروس بالعمل مباشرة ونشر نفسه من جهاز إلى آخر عن طريق البلوتوث.
ملاحظة:
الأجهزة التي لاتحتوي على بلوتوث لايمكن لفيروس Cabir من الوصول إليها إلا عن طريق فيروس آخر وأقصد بفيروس آخر هي الفيروسات التي تنتقل عن طريق الرسائل ، كما أنك لو جعلت البلوتوث في جهازك مخفي Hidden فإنه لايمكن لفيروس Cabire من اكتشاف جهازك وبذلك تضمن سلامة جهازك من هذا الفيروس.
عند تثبيت الفيروس في الجهاز فإن ملفات الفيروس يتم تثبيتها في المسارات التالية:
c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
وعندما يكون ملف الـ caribe.app منفّذ فإنه يتم نسخ الملفات التالية:
flo.mdl to c:\system\recogs
caribe.app to c:\system\symbiansecuredata\caribesecuritymanager
caribe.rsc to c:\system\symbiansecuredata\caribesecuritymanager
ثم يبدأ بعد ذلك بإعادة إنشاء ملف caribe.sis مرة ثانية ويبحث بالبلوتوث عن الأجهزة التي تعمل فيها البلوتوث وليست مخفية (Hidden) ويبدأ بإرسالها
http://img433.imageshack.us/img433/4551/cabirinstall4up.jpg
Skulls.B:
يأتي اسم الملف عند التثبيت Icons.SIS وهو مشابه لسابقه إلا أنه يقوم بوضع Cabir.B في الجهاز ولكنه لن يعمل إلا إذا ضغطت على أيقونته الموجودة في القائمة وبعدها يبدأ فيروس Cabir البحث عن أجهزة تعمل بها بلوتوث ليبدأ بإرسال الفيروس إليها.
Skulls.C:
يأتي اسم الملف عند التثبيت Skull.sis وهو مثل سابقيه ولكن يضع Cabir.F بدلاً من Cabir.B
Skulls.D:
وهذا النوع خطير بعض الشيء لأنه يتظاهر بأنه برنامج Macromedia Flash player لأجهزة نوكيا Series 60 ، كما أنه يضع Cabir.M في الجهاز.
ويوجد أيضاً Skuls.F وهي نسخة معدلة من Skuls.D ويأتي تحت اسم Simworks.SIS أو WMAcodec.sis .
فيروس Lasco.A:
اسمه عند التثبيت Velasco وينتقل هذا النوع من الفيروسات عبر البلوتوث أو بوضع نفسه في ملفات الـ SIS الموجودة في الجهاز.
يعتبر هذا النوع من الفيروسات أول فيروس يقوم باستخدام طريقتين مختلفتين في التنقل في نفس الوقت. وكما ذكرت شركات الحماية أن هذا الفيروس سوف يبدأ بالعمل وذلك بعد الضغط على ملف الـ SIS المصاب. أحد الأعراض التي قد تدل على وجود فيروس Lasco في الجهاز هي أن مؤشر البطارية يبين لك أن البطارية قد شارفت على الإنتهاء رغم أن الجهاز لايزال به طاقة كافية للعمل لساعات.
ملاحظة:
لو جعلت البلوتوث في جهازك مخفي Hidden فإنه لايمكن لفيروس Lasco من اكتشاف جهازك وبالتالي عدم وصوله إليك وبذلك تضمن سلامة جهازك من هذا الفيروس.
عند تثبيت الفيروس في الجهاز فإن ملفات الفيروس يتم تثبيتها في المسارات التالية:
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
وعندما يكون ملف الـ velasco.app منفّذ فإنه يتم نسخ الملفات التالية:
flo.mdl to c:\system\recogs
velasco.app to c:\system\symbiansecuredata\velasco
velasco.rsc to c:\system\symbiansecuredata\velasco
ثم يبدأ بعد ذلك بإعادة إنشاء ملف Lasco.A مرة ثانية ويبحث عن ملفات الـ SIS الموجودة في الجهاز ويضع نفسه فيها ثم يبحث بالبلوتوث عن الأجهزة التي تعمل فيها البلوتوث وليست مخفية (Hidden) ويبدأ بإرسالها.