الموقع التعليمى لبرنامج العطار 

 

   لتحميل البرنامج

    فكرة البرنامج 

شرح كيفية صنع السيرفر

التعامل مع التقارير الواردة
الاعدادات المتقدمة 

كيفية اذالة السيرفر من الجهاز

مميزات وعيوب البرنامج
مشاكل وحلول
محمد العطار

 

 

    فكرة البرنامج

 

لقد قمت بعمل هذا البرنامج بالاستعانة بالسورس كودز لبرنامج ستوكاش الذى سبق ان شرحته
من قبل فى العديد من المنتديات لذا فيمكن اعتباره برنامج ستوكاش قى ثوبه العربى 

هذا البرنامج يساعدك ان تصنع سيرفر 
ولكن ما هو السيرفر وما هى وظيفته؟
السيرفر هو ملف صغير بامتداد اى اكس اى لا تتجاوز مساحته 48 كيلو يايت
فمعنى كلمة سيرفر بالانجليزية خادم وهو كذلك فعلا فهو خادم لديك
فعندما ترسله لجهاز الضحية ويقوم بتشغيله سيعمل كعميل او جاسوس لديك
داخل جهاز الضحية دون ان يدرى هو 
و سيقوم بارسال تقارير يوميةاليك الى بريدك 
تحتوى هذه التقارير على ما قام بكتابته باستخدام مفاتيح الكى بورد
وبالتالى كل ما قام بتشغيله من برامج او ما دخله من مواقع الانترنت و ما كتبه اثناء
المحادثات الخاصة ببرامج الدردشة
واهم شى هو ما يكتبه اثناء تسجيل الدخول فى الايميل او المسينجر او الموقع 
وهذه طبعا الباسوردات الخاصة به

لذلك فاستخدام البرنامج يتكون من جزئين رئيسيين وهما 

كيفية صنع السيرفر وارساله 
و 
كيفية التعامل مع التقارير الواردة من السيرفر

 

 

شرح كيفية صنع السيرفر

  

 

 

 اولا _ فى المكان (1) اكتب الايميل الخاص بك والذى تريد السيرفر ان يرسل اليه التقارير 

من جهاز الضحية

مثال ... xattarx@hotmail.com

ثانيا _ قى المكان (2) اكتب سيرفر الايميل السابق 

مثال .... mail.hotmail.com or mx2.hotmail.com


ثالثا _ ( يمكنك ان تتركه كما هو )


فى المكان (3) ضع علامة اذا كنت تريد ان تظهر للضحية رسالة عندما يقوم بتشغيل 

السيرفر بعد ان ترسله اليه

اذا قمت بذلك 

فقم بكتابة عنوان رسالة الخطا هذه فى المكان (3_A) 

و قم بكتابة مضمون الرسالة فى المكان (3_B) 

واخيرا اضغط على اختبار (3_C) لترى الرسالة التى حددتها


رابعا _ (يفضل ان تتركه كما هو )


فى المكان (4) ضع علامة اذا كنت تريد دمج السيرفر مع اى ملف EXE 

(وليكن فلاش او اى برنامج صغير )

بالتالى عندما يضغط الضحية على السيرفر فسيتم تشغيل هذا الملف كنوع من خداع الضحية 



خامسا _ (يفضل ان تتركه كما هو )

المكان رقم (5) اسم و مسار خروج السيرفر 

اى المكان الذى سيتم صنع السيرفر فيه 

فى وضعه الحالى مضبوط لان يتم تكوين السيرفر على الديسكتوب باسم RUNME

(c:\windows\desktop\RunMe.exe)

ولكن يمكنك تعيره ان اردت

مثلا ان اردت ان يتم صنع السيرفر فى ال C درايف باسم SERVER اكتب هكذا

(c:\SERVER.exe)

سادسا _ (يمكنك ان تتركه كما هو )

اضعط على اعدادات متقدمة (6) 

 

 

 

   
ولا تغير فيها سوى 

(A) فحص حالة اتصال الضحية بالانترنت كل 600 ثانية بدلا من 60 ثانية 

حتى لا يؤدى ذلك الى بطء جهاز الضحية 

(B) اجعل ارسال التقارير حينما يتعدى عدد الاسطر المخزنة 200 سطر بدلا من 500 سطر 

حتى يسهل عليك متابعة هذه التقارير 

(P) اضغط على موافق 

اذا اردت معرفة المذيد عن الاعدادات المتقدمة اضغط هنا 


سابعا _ اضغط على (7) ليتم تصنيع السيرفر بالاعدادات السابقة 


ثامنا _ اضغط على (8) للخروج 




الان تم تصنيع السيرفر ويمكنك تخصيلة من المكان المحدد غالبا الديسك توب باسم RUNME






الان ستقوم بارساله الى الضحية 

قم بتغيير اسم الملف الى اى اسم مغرى 

وتفوم بارساله للضحية من خلال برامج الدردشة مثل

MSN MESSENGER او YAHOO MESSENGER او odigo او mirc 



وهذا افضل من ارساله عن طريق الايميل لانه عالبا ما يفشل 

لان معظم سيرفرات الايميل لها انظمة جماية قوية 

يمكنها كشف السيرفر ولان هذه الطريقة تكون غير مقنعة للضحايا من جهة اخرى 


يمكن للهاكر المحترفين ان يقوموا فبل ارسال السيرفر بضعطه حتى تقل مساحته 


او تشفيره حتى لا يكشفه الانتى فيرس 


ولكن على اى حال بعد ان ترسل السيرفر ويقوم الضحية بتشغيله فقد يتوقف جهازه لعدة ثوانى 


ولكن لن يحدث اى ضرر بعد ذلك 

بمجرد اول تشغيل للسيرفر سيقوم بنسخ نفسه داخل مجلد WINDOWS ولذلك سيظل يعمل حتى 

لو تم مسحه 

وغالبا سيفشل الضحية فى مسحه لان البرنامج سيكون قيد الاستخدام


والان انتهت مهمتك ولن يبقى سوى ان تتابع التفارير التى يرسلها السيرفرالى ايميك

من جهاز الضحية 

 

 

لتعامل مع التقارير الواردة

 

التقارير او الرسائل الى راح يرسلها لك السيرفر ترسل من agent او العميل وعنوانه 


"Agent" <billgates@microsoft.com> اليك انت والذى تعتبر الرئيس 

boss Boss" <president@whitehouse.gov> 

وعنوانها Keyboard report from workstation 123. اى تقرير المفاتيح 

التى استخدمها الضحية 

فهو عميل او جاسوس يعمل لحسابك فى جهاز الضحية دون علمه

 

 


يبدا التقرير بالاتى 


اسم مستخدم الويندوز Windows user : Intel
رقم مسلسل التقرير Message number : 0012 
البداية Startup. 


وينتهى بالاتى 

النهاية THE END 

 

 


هذا التقرير يشتمل على ما يستخدمه الضحية من مفاتيح الكى بورد وبالتالى ما ستخدمه من برامج 

وما دخله من مواقع وما يكتبه عند تسجيل الدخول فى المواقع والبرامج المحتلفة اى كلمات السر 

 

 

والفت نظركم الى عدة ملاحظات هامة 

---------------------------------------

  •   
    Windows user : A
    Message number : 0071
    Startup.
    [BCK][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT]
    [RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT]
    [RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT]
    [RSHIFT][RSHIFT][INS][RSHIFT][RSHIFT][INS][BCK][BCK][ENTER][RSHIFT]
    [RSHIFT][RSHIFT][INS][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT]
    [INS][BCK][BCK][BCK][BCK][BCK][ENTER][ENTER][RSHIFT][RSHIFT][RSHIFT]
    [RSHIFT][ALT]jpdhjd g;l[ENTER][RSHIFT]ho,;l[ENTER]hg{kvhg
      



    هذا البرنامج فى غاية الحساسية وهذا يميزه عن برامج اخرى جربتها 

    قد يسقط منها بعض الحرووف التى كتبها الضحية سهوا 

    ولكن عند ضغط الضحية على المفتاح بشدة او لفترة طويلة قد يكرر الحرف 

    للعديد من المرات وهذا يسهل ملاحظته



  • اذا كان الضحية يكتب بالعربى فراح تلاقى الحرووف غير متناسقة مثلا 

    FVKHL[ HGU'HV 

    لو تحب تترجمها اكتبها فى المفكرة بعد التحول للغة العربية بنفس الترتييب 

    تلاقيها 

    برنامج العطار 

 



  • احيانا بعض المفاتيح ( وهى مفاتيح الوظائف ) تكتب باسمائها وليست كالرموز مثلا 

    [BCK] و [del] و [TAB] و [CTL] و [NUM] ايضا 






    الارقام التى يكتبها الضحية احيانا تكتب بطريقة مختلفة 

    مثل الموجودة على يمين الكى بورد 


    0 = [INS] 

    1 = [END] 

    2 = [DN] 

    3 = [PGDN] 

    4 = [<-] 

    5 = e 

    6 = [->] 

    7 = [HOME] 

    8 = [UP] 

    9 = [PGup] 


  • و يمكنك معرفة ما يقوم بتشعيله من برامج 

    مثلا فى الجزء 


@@ Yahoo! Mail - The best free web-based email! - Ne @@
[CAPS][CAPS]nnooonnouu[CAPS]g[BCK][CAPS]rrrr[TAB]okia6110

@@ octopus (Online) - Message Session @@
hi ahmedd thhis ioos[BCK][BCK]ss nour[BCK][BCK][BCK][BCK][BCK]

نستنتج انه يستخدم YAHOO MESSENGER 

 


و فى 
@@ New Message @@
[ALT][LSHIFT]rubh[BCK][BCK][BCK][BCK]r[BCK][ALT][LSHIFT]rubh[BCK]
[BCK][BCK][BCK][BCK]rubhturui[RSHIFT]2vu

@@ Outlook Express @@
ynh

@@ New Message @@
hk[BCK][BCK][BCK][BCK]vu

نستنتج انه يستخدمOUT LOOK EXPRESS

وفى 

@@ http://www.dynamica.co.il/ - Microsoft Internet E @@
[ENTER]

@@ istarthere.com is where the internet begins! - Mi @@
[ENTER]

نستنتج انه يدخل موقع يهودى هو ttp://www.dynamica.co.il/


@@ Norton AntiVirus @@
\[CTRL][CTRL][CTRL][CTRL][DEL][DEL][DEL]

  وهكذا  يستخدم النورتون

اما عن معرفة الباسورد 

فمثلا اذا وجدت مثل هذا فى الرسالة فيعنى ان باسورد الا icq هى 300132776

@@ ICQ Registration @@
300132776



واذا وجدت هذا فاليوزر نيم لموقع cubid هو hiroman والباسورد w75ghu

@@ Welcome to Cupid - Microsoft Internet Explorer @@
hironman[ENTER][ENTER]
@@ Welcome to Cupid - Microsoft Internet Explorer @@
[ALT][LSHIFT]w75ghu,


والباسورد لل mirc هى bluezincyf من خلال


@@ Enter Administrator Password @@
bluezincyf[ENTER]

@@ mIRC Channels Folder @@
rap[BCK][BCK][BCK]techno[ENTER]

@@ mIRC32 @@
wat up[RSHIFT]////////////[ENTER]techno of course[ENTER][RSHIFT]
[RSHIFT][RSHIFT][RSHIFT][RSHIFT];0[F8][ALT][ALT][ALT] xx



اليوزر نيم للياهو angel_12345والباسورد 87652rh

@@ Login @@
[BCK]angel[RSHIFT]-[END][DN][PGDN][<-][<-]e[TAB][BCK]
[UP][HOME][->]e[DN]rh

@@ ahmed_ran -- Instant Message @@
hi[ENTER]fine[ENTER]and u[RSHIFT]/[ENTER]

@@ laser04 -- Instant Message @@
hi[ENTER]andr


اما الميسنجر وهو الاهم فالباسورد snowwhitelove123456

@@ Sign in to .NET Messenger Service - MSN Messenger @@
snowwhiteinlove[END][DN][PGDN][<-]e[->][ENTER]

لكن اوضح شئ لاخوانى

انا لا اقصد بكلمة خطير المبالغة للفت الانظار الى برنامجى

البرنامج فعلا خطير جدا جدا وكلما استخدمته ادركت خطورته

ودليلى هذا التقرير الذى وردنى من عدة ايام وبه معلومات مفصلة عن

credit card




> @@ Re: re order alkmaarbloemen.nl @@
> [LSHIFT]hello,[ENTER][ENTER][LSHIFT]on the back of my card is
> the number[RSHIFT];[ENTER][ENTER]6021[ENTER][ENTER][LS
HIFT]i
> will repeat the credit card number from the front again[RSHIFT]
> ;[ENTER][ENTER]514 295 101 31221[BCK][ENTER][ENTER][LSHIFT]
> regards[ENTER][ENTER][LSHIFT]nicole[LSHIFT]stephen
[ENTER][ENTER]
> [LSHIFT]the expiry date is 06/03



ملاحظة : لقد غيرت بعض الارقام فى الكارت السابق

غالبا ما تكون اول 3 او 4 رسائل كافية لمعرفة جميع باسوردات الضحية

وقد لا تحتاج الباقون الا اذا كنت ترغب فى مراقبةالضحية بدقة وباستمرار


لذا فقد يذيد عدد الرسائل مما قد يسبب ازعاجا لك لذلك فانصح باستخدام 

خاصية ال JUNK MAIL 

او الافضل على الاطلاق هو استخدام برنامج الاوت لوك اكبريس لتنقل اليه هذه الرسائل

وتفحصها بدقة وانت غير متصل بالانترنت 


الضحية 


واضف الى ذلك كروت الاتصال عبر الانترنت المدفوعة مقدما وما الى ذلك 

 

 

الاعدادات المتقدمة 

 

 (A) تحديد الفترة الزمنية التى يقوم بعدها السيرفر بفحص حالة اتصال الضحية بالانترنت 

(B)تحديد العدد الاقصى للاسطر فعندما يتعدى عدد الاسطر المخزنة فذا العدد يقوم السيرفر بارسال تقرير 

(C)اذا كنت تريد ان يثوم السيرفر بارسال تقرير فى بداية كل اتصال 

(D)قيمة الريجيسترى الخاصة بمفتاح RUN __ اكتب ما تريد هنا فلن تؤثر (( جرب RYJLKIM ))

(E)قيمة الريجيسترى الخاصة بوثيقة التخزين 

(F)قيمة الريجيسترى الخاصة بعدد الاسطر

(G)قيمة الريجيسترى الخاصة بتناول ما خزن 

(H)قيمة الريجيسترى الخاصة بالعداد

كل الاعدادات السابقة غير مؤثرة اكتب فيها ما تشاء مع تجنب عدم كتابة قيم صعيرة ذات عدد اخرف صغير 


(I)مسار الريجيسترى الخاص بحفظ ما خزن 

(J)مسار الريجيسترى الخاص بمفتاح RUN 

لا يفضل تغيير هذه الاعدادات لانه من الضرورى ان تكون مسارات حقيقية 

(K)اسم ومسارالملف الذى سيتم عليه نسخ ملف السيرفر

يفضل ان تتركه كما هو ولكن من الممكن تغيره الى فيمة اخرى وبالتالى عندما يستخدم الضحية 

طريقة اذالة السيرفر المذكورة فلن تجدى

(L)المجلد الذى يوجد به الملف السابق
يجب ان يبقى SYSTEM كما هو 

(M)اسم ومسارالملف الذى سيتم عليه نسخ ملف ال EXE 
يمكن كتابة اى اسم 

(N)المجلد الذى يوجد به الملف السابق
يبقى TEMP كما هو 

(O)تغير عنوان التقارير الواردة

يمكنك تغيير عنوان الراسل او المستقبل مع مراعاة كتابة القيمة \r\n فى نهاية كل سطر 

(P)حفظ الاعدادات 

(Q)خروج دون حفظ

 

 

كيفية اذالة السيرفر من الجهاز

  

اذالة الباتش 
____________ 
اضغط على start او ابدا 

اضغط على run 

اكتب regedit ثم enter 

اختار HKEY_LOCAL_MACHINE 

ثم SOFTWARE 

ثم Microsoft 

ثم Windows 

ثم CurrentVersion 

ثم ابحث عن SysReq 

ان وجدتها فامسحها واعد تشغيل الجهاز 

ولتجنب هذا التروجان كما نعلم فلا تقبل اى ملفات خصوصا exe 

من اى شخص غير موثوق به 

ويفضل استحدام برامج الحماية مثل norton macafee zonealarm cleaner 

ولا تحفظ كلمات السر الخاصة بك على الجهاز 

ولكن مع مثل هذه البرامج حتى لو لم تحفظها فهى معرضة للسرقة 

لذلك فانا اقترح ان تكتبها فى المفكرة وتحفظها فى مكان امين 

على القرص الصلب وعند تسجيل الدخول فى احد البرامج او المواقع قم بنسخها 

فى المكان المطلوب دون كتابتها

 

 

مميزات وعيوب البرنامج

 

اهم ما يتميز به البرنامج


ان السيرفر الخاص به صعير الحجم 

وكما انه يختلف عن باقى برامج الاختراق فى انك بمجرد ارسال السيرفر فقد انتهى دورك 

وبدا دور السيرفر 

جيث يقوم بارسال ما قام بكتابته باستخدام مفاتيح الكى بورد

وبالتالى كل ما قام بتشغيله من برامج او ما دخله من مواقع الانترنت و ما كتبه اثناء

المحادثات الخاصة ببرامج الدردشة


واهم شى هو ما يكتبه اثناء تسجيل الدخول فى الايميل او المسينجر او الموقع

وهذه طبعا الباسوردات الخاصة به


واهم ميزات البرنامج انه يمكن من خلال التفارير الواردة معرفة جميع الباسوردات لدى الضحية

حتى الغير مخزنة بالجهاز وهذا ما تعجز عنه جميع برامج الاختراق الاخرى

كما يتميز ببساطته وسهولة استخدامه

-----------------------------------------------------

اما عيوب البرنامج فهى فليلة بالنسبة للمزايا

ومنها انه يفتقد خاصية التحكم فى جهاز الضحية مثل برامج الاختراق الاخرى 

بل يقتصر دوره على المراقبة فقط 

ويعيبه ان السيرفر يكتشفه الانتى فيرس (ولكن يمكن تشفيره)

كما انه يعمل فى الخلفية اى بالضغط على CTL+ALT+DEL يظهر البرنامج ضمن البرامج

العاملة حاليا 

وبالتالى قد يكتشفه الضحية ان كان على درجة فائقة من الذكاء 

وهذا لا يحدث لانه لو كان كذلك لما تم اختراقه من البداية

 

 

مشاكل وحلول

 سيتم هنا طرح ما يصلنى من مشكلات قد تواجه مستخدمى البرنامج

لكل من وجد صعوبة فى استخدام البرنامج 

لحصول على الشرح بطريقة مبسطة بال سكرين كاميرا اضغط على الوصلة التالية

اضغط يمينا واختار حفظ باسم (save target as ) او انسخها فى المتصفح 


http://mypage.ayna.com/superenjoy2002/learn_attar.zip

وهذه الوصلة لبرنامج تشغيل ملفات السكرين كاميرا

http://mypage.ayna.com/superenjoy2002/SCRNCAM.zip

بعد فك ضغط الملفين قم بتشغيل scrncam player 

(اذا ظهرت رسالة تفيد بان هناك ملفات ناقصة له اضغط ignore وسيعمل بلا مشاكل )

ومنه قم بعمل استعراض  learn_attar     لادخال ملف 

 play  واضغط على ذر   ليتم عرضه


واذا واجهتك صعوبة فى تنزيل البرنامج يمكنك تنزيله من الوصلة التالية بنفس الطريقة 

http://mypage.ayna.com/superenjoy2002/attar.zip

 


السلام عليكم

بالنسبة للمشاكل التى وصلتنى من خلال رسائل المستخدمين اليكم الحلول 

----------------------------------------------------------------------------------------------------------------------------------

(اولا) عند التحميل البرنامج يطلب باس ورد

هذا طبعا غير صحيح فالبرنامج مجانى 100 100 

وهذه الباس ورد تخص برنامج DOWNLOAD ACCELERATOR الموجود على الجهاز وليس البرنامج 

واليكم هذه الخدعة لتجاوز الباسورد حتى اذا كنتم لا تعرفوها 

الغريب ان يمكن لاى شخص من خلال تغيير اعداداته تجاوز هذه الباسورد 

اذا قام باختيار disable browser integration 

او من خلال downloads الدخول الى options & configuration ثم الى 

general 

ثم تعيير امتدادات الملفات التى يعمل عليها download accelerator او

الغاء الامتداد الذى يرغب فى تنزيله ثم ok 

وبذلك امكن تجاوز تلك الباسورد 

----------------------------------------------------------------------------------------------------------------------------------------



(ثانيا) حملت البرنامج بدون مشاكل وسويت الاعدادات ذى الشرح بالضبط ولكن ظهرت لى رسالة خطا 

can not open"agent.pi"file in corrent directorg.thisis main EXE fil for yor trojan.

وتعنى ان البرنامج لا يجد ملف agent

فالبرنامج عبارة عن ملفين رئيسيين هما attar agent.bin 

وكلاهما ضرورى لصنع السيرفر 

attar ملف محرر يغير من الاعدادات فى agent.bin و

agent.bin هو الملف الرئيسى ويحتوى ضمنا على كود السيرفر الذى سيتم تصنيعه 

(لذا قد يتعرف عليه الانتى فيرس مثل معظم برامج الهاكرز)

لذلك فان الرسالة السابقة تعنى ان البرنامج لا يجد agent.bin وبالتالى لن يكون قادرا

على صنع السيرفر


ومن تظهر له هذه الرسالة قد يكون 

بعد تنزيل البرنامج قام الانتى فيرس بمسح agent.bin 

قام بفك ضغط ملف attar فقط دون agent.bin

لذلك عليه اعادة تنزيل البرنامج بعد ايقاف الانتى فيرس مؤقتا وفك الملفين المضغوطين 

ليعملا جنبا الى جنب 

------------------------------------------------------------------------------------------------------------------------------------------

(ثالثا) حملت البرنامج بدون مشاكل وسويت الاعدادات ذى الشرح بالضبط ولكن ظهرت لى رسالة خطا 

can't open (create) out put file for writing . be sure the out put file does exist

وفيها يطلب البرنامج تعير مسار خروج السيرفر 

فى هذه الحالة قم بتعيره من c:\windows\desktop\runme.exe

الى C:\runme.exe

وقم بتحصيل السيرفر من على ال c درايف لديك 

-----------------------------------------------------------------------------------------------------------------------------------------

(رابعا ) سويت السيرفر ولكن كيف ارسله؟؟؟؟


يمكنك ارسال السيرفر عبر اى برامج الدردشة مثلا خلال msn messenger

اما بالنسبة لارساله عبر البريد فمن الصعب لان معظم سيرفرات البريد اصبح لديها انظمة حماية 

قوية 

الا اذا قمت بتشفيره او دمجه خلال صفحة انترنت ملغمة 

----------------------------------------------------------------------------------------------------------------------------------------

(خامسا ) ارسلت السيرفر ولم يرسل تقارير !!!

بمجرد ضغط الضحية على السسرفر ينسخ نغسه فى ال system وبالتالى سيعمل حتى اذا مسح الملف 

الاصلى 

ويرسل تقريرا كل 10 دقائق يكونفيها الضحية على الانترنت

اما اذا لم يرسل 

فربما الضحية لم يفتحه او بعد فتحه خرج من الانترنت او قام بعمل فورمات 

لذا فاعد المحاولة


 

 

 

 

 

 

 

 

--------------------------------------------------                                           

 

 ايضا يمكنكم متابعة الموضوع او الموضوعات ذات الصلة فى عدد من المنتديات

 

 

 

 

 

 

منتديات الفريق العربى للبرمجة  


ومنتديات اخرى كمنتديات القسام وكويت تن والحشاش ومنتديات المصرى وابن مصر وممكلكة الفنون 

   ودارك بلووز ودراكولا والعقرب الاحمر وفلاشيات والجلسة والملتقى وغيرها ......

 

Mohamed_Attar@hotmail.com  للمراسلة 

 

 

Visitor No

 105789

Guest Book