برنامج Sub Seven

elie_90 · 07/06/2004

برنامج Sub Seven

أخطر برامج الإختراق يسمى في منطقة الخليج ( الباكدور جي ) ويطلق عليه البعض إسم القنبلة

تتركز خطورته في أنه يتميز بمخادعة الشخص الذي يحاول إزالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه

يعتبر أقوى برنامج إختراق للأجهزة الشخصية .. وفي إصدارته الأخيرة يمكنه أن يخترق سيرفر لقنوات

المحادثة Mirc كما يمكنه إخترق أي جهاز أي شخص بمجرد معرفة إسمه في ICQ كما يمكنه إختراق

مزودات البريد smtp/pop3 يعتبر الإختراق به صعب نسبيا وذلك لعدم إنتشار ملف التجسس الخاص به

في أجهزة المستخدمين الا أنه قائما حاليا على الإنتشار بصورة مذهلة ويتوقع أنه بحلول منتصف عام

2001 سوف تكون نسبة الأجهزة المصابة بملف السيرفر الخاص به 40-55 % من مستخدمي الإنترنت

حول العالم وهذه نسبة مخيفة جدا إذا تحققت فعلا ... مميزاته خطيرة للغاية فهو يمكن المخترق

من السيطرة الكاملة على الجهاز وكأنه جالس على الجهاز الخاص به حيث يحتوي على أوامر كثيرة

تمكنه من السيطرة عليه ... بل يستطيع أحيانا الحصول على أشياء لا يستطيع مستخدم الجهاز

نفسه الحصول عليها مثل كلمات المرور .. فالمخترق من هذا البرنامج يستطيع الحصول على جميع

كلمات المرور التي يستخدمها صاحب الجهاز !!! ولخطورته الكبيرة فسوف نفصل في الشرح عنه

خصائص البرنامج

نظام التشغيـل

win 95 - win 98

المنافذ التي يستخدمها

6711

6776

1243

1999

ويستطيع المستخدم أحيانا إستخدام منفذ بين المنفذين الأخيرين

التعديلات التي يحدثها هذا البرنامج في جهاز الضحية :

ملف التسجيل

ينشئ القيم التالية :

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl

HKEY_LOCAL_MACHINE\Software\Microsot\DirectXMedia

KERNEL16="KERNEL16.dl

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile

مجلد النظام

rundll16.exe أو KERNEL.dll

35 كيلو بايت

MOVOKH_32.dll

35 كيلو بايت

nodll.exe

35 كيلوبايت

watching.dll

35 كيلوبايت

ملف System.ini

في السطر الخامس يقوم بإضافة إسمه بعد عبارة explorer.exe

ليصبح السطر بعد التغيير :shell=Explorer.exe urndll16.exe

ملف win.ini

في الأسطر الأولى تحديدا في القيم التي توضع أمامها البرامج

المراد تشغيلها أثناء تشغيل الويندوز مثل :

run=###.exe أو Load=###.exe

أعـراض الإصابة :

من أهم أعراض الإصابة بهذا البرنامج ظهور رسالة " قام هذا البرنامج بأداء عملية غير شرعية ... " وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك الماوس أو النقر على لىحة المفاتيح حيث يقوم البرنامج بعمل تغييرات في حافظة الشاشة وتظهر هذه الرسائل عادة عندما تقوم بإزالة إدخالات البرنامج في ملف system.ini كما أن بإمكان الخادم إعادة إنشاء نفسه بعد حذفه من الويندوز بإستخدام بعض الملفات المساعدة له في ذلك

خطورة البرنامج :

يمكن عمل تعديلات على الخادم الخاص بالبرنامج من خلال برنامج التحرير الخاص به لذلك فإنه من الواجب البحث في أي مكان ممكن أن يسجل فيه ليعمل تلقائيا يعني أي مكان يمكن وضع أوامر للويندوز ليقوم بتشغيله تلقائيا .

التخلص منه :

1- إفتح الملف win.ini الموجود في مجلد الويندوز وابحث في بداية السطور الأولى من هذاالملف عن أي قيك شبيهة بالقيم التـالية :

run=xxxx.exe أو run = xxxx.dll أو Load=xxxx.exe أو Load = xxxx.dll

لاحظ أن xxxx تعني إسم الخادم وإذا عثرت على أي قيمة منها فقم بحذفها

2- افتح الملف system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر التالي :

shell = Explorer.exe ... فإذا كان جهازك مصابا ستجد السطر على هذا الشكل :

shell=Explorer.exe xxxx.exe .... أو shell = Explorer.exe xxxx.dll

مع العلم بأن xxxx هو إسم الخادم الذي من أشهر أسمائه rundll16.exe و Task_Bar.exe فإذا كان كذلك فقم بمسح إسم الخادم فقط ليصبح السطر : shell = Explorer.exe

3- إضغط على start ثم تشغيل ثم إكتب regedit لتدخل الى

ملف السجل ثم قم بالدخول تسلسليا على الأتي :

HKEY_LOCAL_MACHINE

Software

Microsoft

Windows

Current Version

داخل المجلد Run إبحث عن إسم الخادم الذي عثرت عليه في مــلف system.ini أو الملف win.ini ( في

بعض الأحيان قد يتغير إسم الخادم في ملف التسجيل لذلك إبحث عن أي شي غريب ) ثم بعد ذلك توجه

لمجلد الويندوز وستجد أن حجم الخادم الذي عثرت عليه في ملف التسجيل حوالي 328 كيلو بايت إذا

كان كذلك عد لنفس المنطقة في ملف التسجيل وقم بحذف القيمة وذلك بالنقر على إسمها وإختيار

حذف delete الآن أعد تشغيل الجهاز ثم توجه لمجلد الويندوز وقم بحذف الخادم بالنقر عليه بالزر الأيمن

للماوس وإختيار حذف

**Hus** · 08/06/2004

المقال قديم هذا .. البرنامج سب سيفن كان ليه مجد ... وكان اشهر البرامج على الاطلاق
البرنامج سب سيفن بالاصل تم تطويرة لصالح MafiaBUG حشرة المافيا للتجسس بهدف استخدام على صعيد مغلق
واختير موبمن يوميها لتطوير هذا البرنامج وهذا الي حصل لكن في وقت لاحق قرر مومان المبرمج طرح البرنامج للتداول العام

الكلام المكتوب فوق عن شهرة البرنامج وقوته كلام حقيقي من سنتين بس اليوم برنامج السب سيفن لا شيئ البرامج الموجودة اضخم بكثير واقوى بكثير منه

بالنسبة للبورتات بتاعه كان اول ما بدي يستخد البورتات
6711

6776

1243

1999
ولكن كل النسخ الاخيرة من جولد وطالع 27374

اخر اصداؤ نزل باسم " الاسطورة" SubSeven Legan هوي اكتر اصدار مستقر ويعمل على بيئة اكس بي وبيئة الفين على خلاف الاصدارات الي قبل ما بتشتغل على Xp

**Hus** · 08/06/2004

هلق بالنسبة لطريقة الازالة الطريقة الي فوق تعمل لو كان عندك نازل الاصدارات ما قبل 2.14
بالاصدارات الاحقة الاموضع اختلف بس ما تدوش حالك باموضوع الازالة اي انتي فايروس مهما كان نوعو مهما كان غباؤ قادر يكتسشف السب سيفن .. نزل انتي فايرو او لو عندك واحد اعمل فول سكان وخلصت

drhas · 10/06/2004

ايلي هل حكي قديم اقدير
وكلو قاري باول ما فتتت عاى عالم الهاكررررر بس مشكور ابو الايل

MIRACLE · 30/11/2005

مشـــــــــــــــــــــــ ـــــــــــــــــــــــــ ــكور حبيب ألبــــــــــــــــــــــ ـــــــــــــــــــــــــ ـي
و شكرا عالمساعــــــــــــــــــ ده

أخوكم MIRACLE

SPAIKE · 02/12/2005

مشـــــــــــــــــــــــ ـــــــــــــــــــــــــ ــكور حبيب ألبــــــــــــــــــــــ ـــــــــــــــــــــــــ ـي
و شكرا عالمساعــــــــــــــــــ ده

semsemsecrets · 29/07/2006

ممكن تديني الlinkاللي بيحمل البرنامج واكون شااااااكر