ثم وبحمد الله تشريحBackdoor:W32/Zx Shell.A

السلام عليكم ورحمة الله تعالى وبركاته إن شاء الله في تمام الصحة والعافية اليوم سنقوم بتشريح لتروجان من نوع باكدور وهو باكدور

Backdoor:W32/Zx Shell.A

هو عبار عن ملف تنفيذي نوع
DLL
يثم دمجه مع برامج التتبيث 
Install 
حيث يقوم هذا الباكدور مباشرة بعد  تحميله في النظام وحقن  نفسه بحاسوب الضحية ب :   

فتح حساب بصلاحيات الادمن

تعطيل الجدار الناري الخاص بالويندوز
نسخ تاريخ الملفات المتواجذ بالنظام 

plugins تتبيث بعد الاضافات
البحث عن كل  باسوردات الحسابات المتواجدة بالنظام
البحث عن باسوردات الخاصة بخدمة الاتصال ب الانترنت
كايلوڭر إلتقاط جميع ضربات لوحة المفاتيح
إطفاء النظام وإعادة تشغيله
SYNFloodإمكانية تطبيق هجوم 

إمكانية تحميل ملفات الضحية او عمل آبلود
إمكانية إلغاء الباكدور
التحكم في حسابات النظام

ftp إمكانية جعل حاسوب الضحية سرفر
http إمكانية جعل حاسوب الضحية سرفر 

proxy إمكانية جعل حاسوب الضحية سرفر 

عمل سكان للمنافذ المفتوحة في جهاز الضحية

socks 4 & socks 5 تتبيث كل من عميل

 التغيرات على مستوى الرجستري

كذالك ولجعل الباكدور يثم تحميله تلقائيا مع بدأ تشغيل النظام فإنه ستحصل ثغيرات على مستوى الرجستري حيث سيثم إضافة كل من

• HKLM\System\CurrentControlSet\Services\6to4
  DisplayName = 6to4
  ObjectName = LocalSystem
  Start = 2
  ErrorControl = 1
  Type = 288
  ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs HKLM\System\CurrentControlSet\Services\6to4\Security
  Security =
• HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters
  ServiceDll = %PATH_TO_BACKDOOR_DLL%
• HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters
  ServiceDllUnloadOnStop = 0
• HKLM\System\CurrentControlSet\Services\6to4\Control
  ActiveService = 6to4

حذفه
يمكن إزالة الباكدور بإستخدام
Avast antivirus  

 لزيارة موقع الشركة إضغط هنا 

والسلام عليكم ورحمة الله تعالى بركاته

Defcon one / Amine raghib