تمت الإجابة لو فى حد جرب الدودة يدخل

تم تحميل الصفحة في 0,2851650 ثانية
لو فى حد جرب الدودة يدخل
الحالة
مغلق و غير مفتوح للمزيد من الردود.

HAMADA HALIM

Beginner Developer
rank
إنضم
13 يونيو 2016
المشاركات
14
الإعجابات
8
النقاط
3
العمر
32
هل فغلا الدودة بتنشر ولا كلام وخلاص يعنى لو زرعتها فى جهاز بيتحط فيه مليون فلاشة فاليوم هتنتشر وتجيب ضحايا ياريت اللى جرب يرد وايه احسن دودة ممكن استخدمها دودة هودينى ولا دودة النجرات
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,276
الإعجابات
8,307
النقاط
113
الإقامة
الجزائر
هل فغلا الدودة بتنشر ولا كلام وخلاص يعنى لو زرعتها فى جهاز بيتحط فيه مليون فلاشة فاليوم هتنتشر وتجيب ضحايا ياريت اللى جرب يرد وايه احسن دودة ممكن استخدمها دودة هودينى ولا دودة النجرات
انت لما انتهت الحفلة حضرت
الانتشار كان فعال سنوات 2013/2014 ، الحين مافي فايدة
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
كان فيه ثغرة CVE-2017-8464
بس أيامها مكنتش أعرف عن البرمجة ولا الاختراق بس لسة شغالة علي معظم إصدارات الويندوز
وفيه ثغرة للورد شغالة علي معظم الإصدارات
وإلي الآن لسة pe infection

وأخطر طريقة انتشار
حول أيقونة الفيروس لأيقونة فولدر وسمه Documents أو Pictures أو صور أو أي اسم يجلب الانتباه وانسخه للفلاشة وسيبه متخفيهوش
واحد عملها في مكتبة الجامعة بفيروس إخفاء الملفات والشورتكات وأصاب مئات الأجهزة

بس أهم حاجة الأنتي فيرس ميمنعش عملية النقل
 
إنضم
8 سبتمبر 2013
المشاركات
7,966
الإعجابات
11,887
النقاط
168
الإقامة
Live.IQ(JO => JO.AMMAN)
مثل ما ذكر الاخ @H O U D I N I ان الانتشار قد انتهى من 2014 ..
لا توجد اي انتشارات فعالة هذه الايام على حد علمي في فأي برنامج ينتج vbs .. و الله اعلم
دودة من برمجة الاخ سليمان @v_B01 اسمها vw0rm v0.2 ابحث عنها في المنتدى هي دودة vbs
فيها انتشار usb ايضاً .. لم اجرب انتشارها للاسف .. لكنها مكتوبة بشكل جميل جداً

جربها


كان فيه ثغرة CVE-2017-8464
بس أيامها مكنتش أعرف عن البرمجة ولا الاختراق بس لسة شغالة علي معظم إصدارات الويندوز
وفيه ثغرة للورد شغالة علي معظم الإصدارات
وإلي الآن لسة pe infection

وأخطر طريقة انتشار
حول أيقونة الفيروس لأيقونة فولدر وسمه Documents أو Pictures أو صور أو أي اسم يجلب الانتباه وانسخه للفلاشة وسيبه متخفيهوش
واحد عملها في مكتبة الجامعة بفيروس إخفاء الملفات والشورتكات وأصاب مئات الأجهزة

بس أهم حاجة الأنتي فيرس ميمنعش عملية النقل
اخي هو يتكلم عن انتشار يشتغل لوحده .. الكلام هذا كله لن ينفعه طالما لا يوجد بشكل Client دودة
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
اخي هو يتكلم عن انتشار يشتغل لوحده .. الكلام هذا كله لن ينفعه طالما لا يوجد بشكل Client دودة
سهل
اصنع الملف الملغم وسجل إشعار في سجل الويندوز للحصول علي إشعار عند توصيل usb وقم بالمطلوب
الدالة المستخدمة RegisterDeviceNotificationA مع صنع نافذة غير ظاهرة
أو سجل مع HandlerEx لخدمة ويندوز (خدمة الويندوز أفضل طريقة للانتشار)
أو شغل حلقة للبحث بشكل دائم عن أي usb

إذا كنت تريد شيء أكثر فعالية
اصنع ملف مميز ملغم (شورتكت أو ورد) كل مرة تنقل فيها
رأيت مكتبة للسي شارب لصنع ملفات شورتكات ملغمة علي جيت هاب لكن لا أذكر العنوان بالضبط
وسكريبتات البايثون لتلغيم ملفات الورد في كل مكان علي النت سهل تحويلها ل vbs

وزيادة في الانتشار لغم ملفات الورد علي الجهاز
 
إنضم
8 سبتمبر 2013
المشاركات
7,966
الإعجابات
11,887
النقاط
168
الإقامة
Live.IQ(JO => JO.AMMAN)
سهل
اصنع الملف الملغم وسجل إشعار في سجل الويندوز للحصول علي إشعار عند توصيل usb وقم بالمطلوب
الدالة المستخدمة RegisterDeviceNotificationA مع صنع نافذة غير ظاهرة
أو سجل مع HandlerEx لخدمة ويندوز (خدمة الويندوز أفضل طريقة للانتشار)
أو شغل حلقة للبحث بشكل دائم عن أي usb

إذا كنت تريد شيء أكثر فعالية
اصنع ملف مميز ملغم (شورتكت أو ورد) كل مرة تنقل فيها
رأيت مكتبة للسي شارب لصنع ملفات شورتكات ملغمة علي جيت هاب لكن لا أذكر العنوان بالضبط
وسكريبتات البايثون لتلغيم ملفات الورد في كل مكان علي النت سهل تحويلها ل vbs

وزيادة في الانتشار لغم ملفات الورد علي الجهاز
اخي يوسف الكلام هذا كله على راسي .. لا اتكلم عن نفسي
الاخ صاحب الموضوع و الله اعلم لا خبرة له في برمجة الديدان vbs .. او غيرها
هذه الاشياء لن تنفعه طالما هي غير متوفرة بشكل منتج استهلاكي

هذا ما اقصده
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,276
الإعجابات
8,307
النقاط
113
الإقامة
الجزائر
#توضيح
الدودة لم تتوقف عن انتشار ، انما صارت الطريقة المدمجة فيها غير فعالة


#الحلول
1-اعادة تشفير الانتشار المدمج
او
2-حذف الانتشار القديم و اضافة انتشار جديد
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
#توضيح
الدودة لم تتوقف عن انتشار ، انما صارت الطريقة المدمجة فيها غير فعالة


#الحلول
1-اعادة تشفير الانتشار المدمج
او
2-حذف الانتشار القديم و اضافة انتشار جديد
وما هو تشفير الانتشار بالضبط ؟
ولماذا لم تعد فعالة ؟
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,276
الإعجابات
8,307
النقاط
113
الإقامة
الجزائر
وما هو تشفير الانتشار بالضبط ؟
ولماذا لم تعد فعالة ؟
تشفير ملفات .lnk التي تنتجها الدودة (Target Obfuscation) لانها مكشوفة

لم تعد فعالة
- دخول win 10 الخدمة و defender
- بعض المكافحات يحذف اي vbs - lnk مهما كان على الفلاش
- انكشاف خدعة الاختصارات ، وظهور عدة برامج مخصصة لتنظيف الفلاشات من الاختصارات
 

G̷E̷N̷E̷R̷A̷L̷ B̷A̷G̷H̷D̷A̷D̷

.:: وحش التشفير والتلغيم ::.
rankrankrankrankrank
إنضم
25 أكتوبر 2012
المشاركات
2,507
الإعجابات
1,948
النقاط
113
ماتنفع الان وبرامج الحماية كثرت والانتشار ينمسك
الة في حالة وحدة انو يصير تخطي جديد والية عمل جديدة وهل شي بذاتة يحتاج شهور
افادوك الاخوة
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
ماتنفع الان وبرامج الحماية كثرت والانتشار ينمسك
الة في حالة وحدة انو يصير تخطي جديد والية عمل جديدة وهل شي بذاتة يحتاج شهور
افادوك الاخوة
وماذا عن نقل ملف exe بأيقونة فولدر أو صورة أو لعبة وتسميته باسم جذاب
لا أظن برامج الحماية ستحمي المستخدم من غبائه
لأنها حصلت معي بالفعل ووقعت في الفخ ههه
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,276
الإعجابات
8,307
النقاط
113
الإقامة
الجزائر
وماذا عن نقل ملف exe بأيقونة فولدر أو صورة أو لعبة وتسميته باسم جذاب
لا أظن برامج الحماية ستحمي المستخدم من غبائه
لأنها حصلت معي بالفعل ووقعت في الفخ ههه
ههه
سبق و عملت هته الفكرة في نسخة برايفت سنة 2016
Some versions also have an unfinished PE spreader in the resource section (a65fd78951590833904bd27783b1032b7cc575220a12c6d6f44cb09061999af3). The spreader will terminate all running processes named “sm?rtp.exe” and execute a VBS file using wscript.exe:


1
“wscript.exe /e:vbscript <current directory>\$RECYCLE.BIN\u vbs name here”.

Figure 10 Spreader
تجد تحليل لنسخة برايفت من hworm هنا
Houdini’s Magic Reappearance - Palo Alto Networks Blog
 

Terr0r1st_Dz

خبير اختبار الاختراق
rankrankrankrank
إنضم
20 أبريل 2013
المشاركات
1,709
الإعجابات
1,769
النقاط
258
الإقامة
مملكة شكوبيستان

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,276
الإعجابات
8,307
النقاط
113
الإقامة
الجزائر
الحالة
مغلق و غير مفتوح للمزيد من الردود.

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل