mohamed sheta
16-09-2009, 10:18
السلام عليكم ورحمة الله وبركاته
اليوم هنستكمل الحلقة الثانية من كلامنا على ملف الــ Rundll32.exe وهو الموضوع المتعلق بالفيروسات
وهذا الملف تستغله العديد من الفيروسات باسمه صحيح Rundll32.exe او مع تحريف بسيط كتغيير حرفى ll الى ii ليصبح rundii32.exe (حرف L فى اللغة الانجليزية فى بعض الخطوط مشابه الى حد مع حرف I على شكل حروف صغيرة Small) كتغيير svchost.exe الى svohost.exe الفيروس اللعين.
وعند فتح مدير المهام Task Manager ((كليك يمين على شريط المهام Task bar واختيا ر Task manager او كتابة taskmgr فى قائمة Run)) لا يمكنك سوى رؤية اسم العملية Process لهذا الملف ولا تستطيع ان ترى ملفات المكتبات الديناميكية DLL'S للبرامج التى يقوم الملف بتحميلها .
https://lh4.ggpht.com/_fSpdUy9yq9w/SqtjcGe44aI/AAAAAAAABU0/mlLO9a2xBiA/what-is-rundll32.png (https://lh4.ggpht.com/_fSpdUy9yq9w/SqtjcGe44aI/AAAAAAAABU0/mlLO9a2xBiA/what-is-rundll32.png)
ولرؤية تلك الملفات فى بيئة ويندوز اكس بى بروفيشنال هناك طريقتين واحدة عن طريق برنامج Hijackthis الغنى عن التعريف وذلك بالقيام بعمل فحص للنظام System Scan والنظر الى تقرير الفحص الذى يظهر فى الصورة تحميل الــ rundll32.exe لملفين dll هما NvCpl.dll و NvMcTray.dll مع كل مرة يقلع فيها الويندوز
https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjb2KLzRI/AAAAAAAABUo/47DyqMuax5E/hijackthis-rundll32.png (https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjb2KLzRI/AAAAAAAABUo/47DyqMuax5E/hijackthis-rundll32.png)
اما الطريقة الاخرى يدوية عن طريق سطر الاوامر command-line (افتح run واكتب فيها cmd وانتر )
فى شاشة سطر الاوامر اكتب الامر التالى:
tasklist /m /fi "IMAGENAME eq rundll32.exe"
لاحظ ان الامر tasklist غير موجود فى نسخة Home edition
فى الشاشة التالية تظهر ملفات الــ dll التى يقوم بتحميلها ملف الــ rundll32.exe على يمين الشاشة واذا استثنينا ملفات النظام يمكنك رؤية ملفات الــ dll الضارة واذا كان عندك شك فى احداها يمكنك البحث عنها فى جوجل و اذا لاحظنا قليلا فى نتائج البحث سنجد ملف NvMcTray.dll الذى ظهر فى تقرير برنامج Hijackthis
https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjbxy72TI/AAAAAAAABUs/arx122YehpQ/identify-rundll32.png (https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjbxy72TI/AAAAAAAABUs/arx122YehpQ/identify-rundll32.png)
تبقى مشكلة خطيرة وهى ان بعض الفيروسات والسباى وير Spyware تقوم باستبدال ملف الـ Rundll32.exe الاصلى باخر مزيف مما يتسبب فى ظهور رسائل خطأ عند القيام بفتح مهام معينة على سبيل المثال لوحة التحكم او ابعاد الشاشة وغيرها الكثير جدا من التطبيقات ولكن كيف يمكن معرفة ان الملف مضروب ؟ افتحه بالمفكرة Notepad واعمل بحثCtrl+F عن كلمة "Paddings" فاذا كانت موجودة فهذا معناه ان الملف فعلا مضروب ولازم يتغير طب ازاى؟
ممكن تنزل الملف من على الانترنت جاهز من هنـــــــــــــــــــــا (https://rapidshare.com/files/70492828/rundll32.zip)وتستبدله بالمزيف او لو عندك اسطوانة الويندوز ضعها فى السيدى روم وروح لنافذ الاوامر
وأكتب الامر التالى :
expand D:\i386\rundll32.ex_ %Systemroot%\rundll32.exe
مهـــــــــم جـــــــــدا:: :لاحظ تغيير حرف الــ D بحرف السيدى روم عندك
https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjb0DnAQI/AAAAAAAABUw/sEWacZKIxis/restore-rundll32.png (https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjb0DnAQI/AAAAAAAABUw/sEWacZKIxis/restore-rundll32.png)
ياريت الموضوع يكون عجبكوا لانه حصرى جدااااااااا
اليوم هنستكمل الحلقة الثانية من كلامنا على ملف الــ Rundll32.exe وهو الموضوع المتعلق بالفيروسات
وهذا الملف تستغله العديد من الفيروسات باسمه صحيح Rundll32.exe او مع تحريف بسيط كتغيير حرفى ll الى ii ليصبح rundii32.exe (حرف L فى اللغة الانجليزية فى بعض الخطوط مشابه الى حد مع حرف I على شكل حروف صغيرة Small) كتغيير svchost.exe الى svohost.exe الفيروس اللعين.
وعند فتح مدير المهام Task Manager ((كليك يمين على شريط المهام Task bar واختيا ر Task manager او كتابة taskmgr فى قائمة Run)) لا يمكنك سوى رؤية اسم العملية Process لهذا الملف ولا تستطيع ان ترى ملفات المكتبات الديناميكية DLL'S للبرامج التى يقوم الملف بتحميلها .
https://lh4.ggpht.com/_fSpdUy9yq9w/SqtjcGe44aI/AAAAAAAABU0/mlLO9a2xBiA/what-is-rundll32.png (https://lh4.ggpht.com/_fSpdUy9yq9w/SqtjcGe44aI/AAAAAAAABU0/mlLO9a2xBiA/what-is-rundll32.png)
ولرؤية تلك الملفات فى بيئة ويندوز اكس بى بروفيشنال هناك طريقتين واحدة عن طريق برنامج Hijackthis الغنى عن التعريف وذلك بالقيام بعمل فحص للنظام System Scan والنظر الى تقرير الفحص الذى يظهر فى الصورة تحميل الــ rundll32.exe لملفين dll هما NvCpl.dll و NvMcTray.dll مع كل مرة يقلع فيها الويندوز
https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjb2KLzRI/AAAAAAAABUo/47DyqMuax5E/hijackthis-rundll32.png (https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjb2KLzRI/AAAAAAAABUo/47DyqMuax5E/hijackthis-rundll32.png)
اما الطريقة الاخرى يدوية عن طريق سطر الاوامر command-line (افتح run واكتب فيها cmd وانتر )
فى شاشة سطر الاوامر اكتب الامر التالى:
tasklist /m /fi "IMAGENAME eq rundll32.exe"
لاحظ ان الامر tasklist غير موجود فى نسخة Home edition
فى الشاشة التالية تظهر ملفات الــ dll التى يقوم بتحميلها ملف الــ rundll32.exe على يمين الشاشة واذا استثنينا ملفات النظام يمكنك رؤية ملفات الــ dll الضارة واذا كان عندك شك فى احداها يمكنك البحث عنها فى جوجل و اذا لاحظنا قليلا فى نتائج البحث سنجد ملف NvMcTray.dll الذى ظهر فى تقرير برنامج Hijackthis
https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjbxy72TI/AAAAAAAABUs/arx122YehpQ/identify-rundll32.png (https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjbxy72TI/AAAAAAAABUs/arx122YehpQ/identify-rundll32.png)
تبقى مشكلة خطيرة وهى ان بعض الفيروسات والسباى وير Spyware تقوم باستبدال ملف الـ Rundll32.exe الاصلى باخر مزيف مما يتسبب فى ظهور رسائل خطأ عند القيام بفتح مهام معينة على سبيل المثال لوحة التحكم او ابعاد الشاشة وغيرها الكثير جدا من التطبيقات ولكن كيف يمكن معرفة ان الملف مضروب ؟ افتحه بالمفكرة Notepad واعمل بحثCtrl+F عن كلمة "Paddings" فاذا كانت موجودة فهذا معناه ان الملف فعلا مضروب ولازم يتغير طب ازاى؟
ممكن تنزل الملف من على الانترنت جاهز من هنـــــــــــــــــــــا (https://rapidshare.com/files/70492828/rundll32.zip)وتستبدله بالمزيف او لو عندك اسطوانة الويندوز ضعها فى السيدى روم وروح لنافذ الاوامر
وأكتب الامر التالى :
expand D:\i386\rundll32.ex_ %Systemroot%\rundll32.exe
مهـــــــــم جـــــــــدا:: :لاحظ تغيير حرف الــ D بحرف السيدى روم عندك
https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjb0DnAQI/AAAAAAAABUw/sEWacZKIxis/restore-rundll32.png (https://lh6.ggpht.com/_fSpdUy9yq9w/Sqtjb0DnAQI/AAAAAAAABUw/sEWacZKIxis/restore-rundll32.png)
ياريت الموضوع يكون عجبكوا لانه حصرى جدااااااااا