Attar_الموقع التعليمى لبرنامج العطار

Free Web Hosting Provider - Web Hosting - E-commerce - High Speed Internet - Free Web Page

الموقع التعليمى لبرنامج العطار

لتحميل البرنامج
فكرة البرنامج
شرح كيفية صنع السيرفر
التعامل مع التقارير الواردة
الاعدادات المتقدمة
الاعدادات المتقدمة
كيفية اذالة السيرفر من الجهاز
مميزات وعيوب البرنامج
مشاكل وحلول
محمد العطار

فكرة البرنامج

لقد قمت بعمل هذا البرنامج بالاستعانة بالسورس كودز لبرنامج ستوكاش الذى سبق ان شرحته
من قبل فى العديد من المنتديات لذا فيمكن اعتباره برنامج ستوكاش قى ثوبه العربى

هذا البرنامج يساعدك ان تصنع سيرفر
ولكن ما هو السيرفر وما هى وظيفته؟
السيرفر هو ملف صغير بامتداد اى اكس اى لا تتجاوز مساحته 48 كيلو يايت
فمعنى كلمة سيرفر بالانجليزية خادم وهو كذلك فعلا فهو خادم لديك
فعندما ترسله لجهاز الضحية ويقوم بتشغيله سيعمل كعميل او جاسوس لديك
داخل جهاز الضحية دون ان يدرى هو
و سيقوم بارسال تقارير يوميةاليك الى بريدك
تحتوى هذه التقارير على ما قام بكتابته باستخدام مفاتيح الكى بورد
وبالتالى كل ما قام بتشغيله من برامج او ما دخله من مواقع الانترنت و ما كتبه اثناء
المحادثات الخاصة ببرامج الدردشة
واهم شى هو ما يكتبه اثناء تسجيل الدخول فى الايميل او المسينجر او الموقع
وهذه طبعا الباسوردات الخاصة به

لذلك فاستخدام البرنامج يتكون من جزئين رئيسيين وهما

كيفية صنع السيرفر وارساله
و
كيفية التعامل مع التقارير الواردة من السيرفر

شرح كيفية صنع السيرفر

اولا _ فى المكان (1) اكتب الايميل الخاص بك والذى تريد السيرفر ان يرسل اليه التقارير

من جهاز الضحية

مثال ... xattarx@hotmail.com

ثانيا _ قى المكان (2) اكتب سيرفر الايميل السابق

مثال .... mail.hotmail.com or mx2.hotmail.com

ثالثا _ ( يمكنك ان تتركه كما هو )

فى المكان (3) ضع علامة اذا كنت تريد ان تظهر للضحية رسالة عندما يقوم بتشغيل

السيرفر بعد ان ترسله اليه

اذا قمت بذلك

فقم بكتابة عنوان رسالة الخطا هذه فى المكان (3_A)

و قم بكتابة مضمون الرسالة فى المكان (3_B)

واخيرا اضغط على اختبار (3_C) لترى الرسالة التى حددتها

رابعا _ (يفضل ان تتركه كما هو )

فى المكان (4) ضع علامة اذا كنت تريد دمج السيرفر مع اى ملف EXE

(وليكن فلاش او اى برنامج صغير )

بالتالى عندما يضغط الضحية على السيرفر فسيتم تشغيل هذا الملف كنوع من خداع الضحية

خامسا _ (يفضل ان تتركه كما هو )

المكان رقم (5) اسم و مسار خروج السيرفر

اى المكان الذى سيتم صنع السيرفر فيه

فى وضعه الحالى مضبوط لان يتم تكوين السيرفر على الديسكتوب باسم RUNME

(c:\windows\desktop\RunMe.exe)

ولكن يمكنك تعيره ان اردت

مثلا ان اردت ان يتم صنع السيرفر فى ال C درايف باسم SERVER اكتب هكذا

(c:\SERVER.exe)

سادسا _ (يمكنك ان تتركه كما هو )

اضعط على اعدادات متقدمة (6)

ولا تغير فيها سوى

(A) فحص حالة اتصال الضحية بالانترنت كل 600 ثانية بدلا من 60 ثانية

حتى لا يؤدى ذلك الى بطء جهاز الضحية

(B) اجعل ارسال التقارير حينما يتعدى عدد الاسطر المخزنة 200 سطر بدلا من 500 سطر

حتى يسهل عليك متابعة هذه التقارير

(P) اضغط على موافق

اذا اردت معرفة المذيد عن الاعدادات المتقدمة اضغط هنا

سابعا _ اضغط على (7) ليتم تصنيع السيرفر بالاعدادات السابقة

ثامنا _ اضغط على (8) للخروج

الان تم تصنيع السيرفر ويمكنك تخصيلة من المكان المحدد غالبا الديسك توب باسم RUNME

الان ستقوم بارساله الى الضحية

قم بتغيير اسم الملف الى اى اسم مغرى

وتفوم بارساله للضحية من خلال برامج الدردشة مثل

MSN MESSENGER او YAHOO MESSENGER او odigo او mirc

وهذا افضل من ارساله عن طريق الايميل لانه عالبا ما يفشل

لان معظم سيرفرات الايميل لها انظمة جماية قوية

يمكنها كشف السيرفر ولان هذه الطريقة تكون غير مقنعة للضحايا من جهة اخرى

يمكن للهاكر المحترفين ان يقوموا فبل ارسال السيرفر بضعطه حتى تقل مساحته

او تشفيره حتى لا يكشفه الانتى فيرس

ولكن على اى حال بعد ان ترسل السيرفر ويقوم الضحية بتشغيله فقد يتوقف جهازه لعدة ثوانى

ولكن لن يحدث اى ضرر بعد ذلك

بمجرد اول تشغيل للسيرفر سيقوم بنسخ نفسه داخل مجلد WINDOWS ولذلك سيظل يعمل حتى

لو تم مسحه

وغالبا سيفشل الضحية فى مسحه لان البرنامج سيكون قيد الاستخدام

والان انتهت مهمتك ولن يبقى سوى ان تتابع التفارير التى يرسلها السيرفرالى ايميك

من جهاز الضحية

لتعامل مع التقارير الواردة

التقارير او الرسائل الى راح يرسلها لك السيرفر ترسل من agent او العميل وعنوانه

"Agent" <billgates@microsoft.com> اليك انت والذى تعتبر الرئيس

boss Boss" <president@whitehouse.gov>

وعنوانها Keyboard report from workstation 123. اى تقرير المفاتيح

التى استخدمها الضحية

فهو عميل او جاسوس يعمل لحسابك فى جهاز الضحية دون علمه

يبدا التقرير بالاتى

اسم مستخدم الويندوز Windows user : Intel
رقم مسلسل التقرير Message number : 0012
البداية Startup.

وينتهى بالاتى

النهاية THE END

هذا التقرير يشتمل على ما يستخدمه الضحية من مفاتيح الكى بورد وبالتالى ما ستخدمه من برامج

وما دخله من مواقع وما يكتبه عند تسجيل الدخول فى المواقع والبرامج المحتلفة اى كلمات السر

والفت نظركم الى عدة ملاحظات هامة

---------------------------------------

Windows user : A
Message number : 0071
Startup.
[BCK][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT]
[RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT]
[RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT]
[RSHIFT][RSHIFT][INS][RSHIFT][RSHIFT][INS][BCK][BCK][ENTER][RSHIFT]
[RSHIFT][RSHIFT][INS][RSHIFT][RSHIFT][RSHIFT][RSHIFT][RSHIFT]
[INS][BCK][BCK][BCK][BCK][BCK][ENTER][ENTER][RSHIFT][RSHIFT][RSHIFT]
[RSHIFT][ALT]jpdhjd g;l[ENTER][RSHIFT]ho,;l[ENTER]hg{kvhg

هذا البرنامج فى غاية الحساسية وهذا يميزه عن برامج اخرى جربتها

قد يسقط منها بعض الحرووف التى كتبها الضحية سهوا

ولكن عند ضغط الضحية على المفتاح بشدة او لفترة طويلة قد يكرر الحرف

للعديد من المرات وهذا يسهل ملاحظته
اذا كان الضحية يكتب بالعربى فراح تلاقى الحرووف غير متناسقة مثلا

FVKHL[ HGU'HV

لو تحب تترجمها اكتبها فى المفكرة بعد التحول للغة العربية بنفس الترتييب

تلاقيها

برنامج العطار

احيانا بعض المفاتيح ( وهى مفاتيح الوظائف ) تكتب باسمائها وليست كالرموز مثلا

[BCK] و [del] و [TAB] و [CTL] و [NUM] ايضا

الارقام التى يكتبها الضحية احيانا تكتب بطريقة مختلفة

مثل الموجودة على يمين الكى بورد

0 = [INS]

1 = [END]

2 = [DN]

3 = [PGDN]

4 = [<-]

5 = e

6 = [->]

7 = [HOME]

8 = [UP]

9 = [PGup]
و يمكنك معرفة ما يقوم بتشعيله من برامج

مثلا فى الجزء

@@ Yahoo! Mail - The best free web-based email! - Ne @@
[CAPS][CAPS]nnooonnouu[CAPS]g[BCK][CAPS]rrrr[TAB]okia6110

@@ octopus (Online) - Message Session @@
hi ahmedd thhis ioos[BCK][BCK]ss nour[BCK][BCK][BCK][BCK][BCK]

نستنتج انه يستخدم YAHOO MESSENGER

و فى
@@ New Message @@
[ALT][LSHIFT]rubh[BCK][BCK][BCK][BCK]r[BCK][ALT][LSHIFT]rubh[BCK]
[BCK][BCK][BCK][BCK]rubhturui[RSHIFT]2vu

@@ Outlook Express @@
ynh

@@ New Message @@
hk[BCK][BCK][BCK][BCK]vu

نستنتج انه يستخدمOUT LOOK EXPRESS

وفى

@@ http://www.dynamica.co.il/ - Microsoft Internet E @@
[ENTER]

@@ istarthere.com is where the internet begins! - Mi @@
[ENTER]

نستنتج انه يدخل موقع يهودى هو ttp://www.dynamica.co.il/

@@ Norton AntiVirus @@
\[CTRL][CTRL][CTRL][CTRL][DEL][DEL][DEL]

وهكذا يستخدم النورتون

اما عن معرفة الباسورد

فمثلا اذا وجدت مثل هذا فى الرسالة فيعنى ان باسورد الا icq هى 300132776

@@ ICQ Registration @@
300132776

واذا وجدت هذا فاليوزر نيم لموقع cubid هو hiroman والباسورد w75ghu

@@ Welcome to Cupid - Microsoft Internet Explorer @@
hironman[ENTER][ENTER]
@@ Welcome to Cupid - Microsoft Internet Explorer @@
[ALT][LSHIFT]w75ghu,

والباسورد لل mirc هى bluezincyf من خلال

@@ Enter Administrator Password @@
bluezincyf[ENTER]

@@ mIRC Channels Folder @@
rap[BCK][BCK][BCK]techno[ENTER]

@@ mIRC32 @@
wat up[RSHIFT]////////////[ENTER]techno of course[ENTER][RSHIFT]
[RSHIFT][RSHIFT][RSHIFT][RSHIFT];0[F8][ALT][ALT][ALT] xx

اليوزر نيم للياهو angel_12345والباسورد 87652rh

@@ Login @@
[BCK]angel[RSHIFT]-[END][DN][PGDN][<-][<-]e[TAB][BCK]
[UP][HOME][->]e[DN]rh

@@ ahmed_ran -- Instant Message @@
hi[ENTER]fine[ENTER]and u[RSHIFT]/[ENTER]

@@ laser04 -- Instant Message @@
hi[ENTER]andr

اما الميسنجر وهو الاهم فالباسورد snowwhitelove123456

@@ Sign in to .NET Messenger Service - MSN Messenger @@
snowwhiteinlove[END][DN][PGDN][<-]e[->][ENTER]

لكن اوضح شئ لاخوانى

انا لا اقصد بكلمة خطير المبالغة للفت الانظار الى برنامجى

البرنامج فعلا خطير جدا جدا وكلما استخدمته ادركت خطورته

ودليلى هذا التقرير الذى وردنى من عدة ايام وبه معلومات مفصلة عن

credit card

> @@ Re: re order alkmaarbloemen.nl @@
> [LSHIFT]hello,[ENTER][ENTER][LSHIFT]on the back of my card is
> the number[RSHIFT];[ENTER][ENTER]6021[ENTER][ENTER][LS
HIFT]i
> will repeat the credit card number from the front again[RSHIFT]
> ;[ENTER][ENTER]514 295 101 31221[BCK][ENTER][ENTER][LSHIFT]
> regards[ENTER][ENTER][LSHIFT]nicole[LSHIFT]stephen
[ENTER][ENTER]
> [LSHIFT]the expiry date is 06/03

ملاحظة : لقد غيرت بعض الارقام فى الكارت السابق

غالبا ما تكون اول 3 او 4 رسائل كافية لمعرفة جميع باسوردات الضحية

وقد لا تحتاج الباقون الا اذا كنت ترغب فى مراقبةالضحية بدقة وباستمرار

لذا فقد يذيد عدد الرسائل مما قد يسبب ازعاجا لك لذلك فانصح باستخدام

خاصية ال JUNK MAIL

او الافضل على الاطلاق هو استخدام برنامج الاوت لوك اكبريس لتنقل اليه هذه الرسائل

وتفحصها بدقة وانت غير متصل بالانترنت

الضحية

واضف الى ذلك كروت الاتصال عبر الانترنت المدفوعة مقدما وما الى ذلك

الاعدادات المتقدمة

(A) تحديد الفترة الزمنية التى يقوم بعدها السيرفر بفحص حالة اتصال الضحية بالانترنت

(B)تحديد العدد الاقصى للاسطر فعندما يتعدى عدد الاسطر المخزنة فذا العدد يقوم السيرفر بارسال تقرير

(C)اذا كنت تريد ان يثوم السيرفر بارسال تقرير فى بداية كل اتصال

(D)قيمة الريجيسترى الخاصة بمفتاح RUN __ اكتب ما تريد هنا فلن تؤثر (( جرب RYJLKIM ))

(E)قيمة الريجيسترى الخاصة بوثيقة التخزين

(F)قيمة الريجيسترى الخاصة بعدد الاسطر

(G)قيمة الريجيسترى الخاصة بتناول ما خزن

(H)قيمة الريجيسترى الخاصة بالعداد

كل الاعدادات السابقة غير مؤثرة اكتب فيها ما تشاء مع تجنب عدم كتابة قيم صعيرة ذات عدد اخرف صغير

(I)مسار الريجيسترى الخاص بحفظ ما خزن

(J)مسار الريجيسترى الخاص بمفتاح RUN

لا يفضل تغيير هذه الاعدادات لانه من الضرورى ان تكون مسارات حقيقية

(K)اسم ومسارالملف الذى سيتم عليه نسخ ملف السيرفر

يفضل ان تتركه كما هو ولكن من الممكن تغيره الى فيمة اخرى وبالتالى عندما يستخدم الضحية

طريقة اذالة السيرفر المذكورة فلن تجدى

(L)المجلد الذى يوجد به الملف السابق
يجب ان يبقى SYSTEM كما هو

(M)اسم ومسارالملف الذى سيتم عليه نسخ ملف ال EXE
يمكن كتابة اى اسم

(N)المجلد الذى يوجد به الملف السابق
يبقى TEMP كما هو

(O)تغير عنوان التقارير الواردة

يمكنك تغيير عنوان الراسل او المستقبل مع مراعاة كتابة القيمة \r\n فى نهاية كل سطر

(P)حفظ الاعدادات

(Q)خروج دون حفظ

كيفية اذالة السيرفر من الجهاز

اذالة الباتش
____________
اضغط على start او ابدا

اضغط على run

اكتب regedit ثم enter

اختار HKEY_LOCAL_MACHINE

ثم SOFTWARE

ثم Microsoft

ثم Windows

ثم CurrentVersion

ثم ابحث عن SysReq

ان وجدتها فامسحها واعد تشغيل الجهاز

ولتجنب هذا التروجان كما نعلم فلا تقبل اى ملفات خصوصا exe

من اى شخص غير موثوق به

ويفضل استحدام برامج الحماية مثل norton macafee zonealarm cleaner

ولا تحفظ كلمات السر الخاصة بك على الجهاز

ولكن مع مثل هذه البرامج حتى لو لم تحفظها فهى معرضة للسرقة

لذلك فانا اقترح ان تكتبها فى المفكرة وتحفظها فى مكان امين

على القرص الصلب وعند تسجيل الدخول فى احد البرامج او المواقع قم بنسخها

فى المكان المطلوب دون كتابتها

مميزات وعيوب البرنامج

اهم ما يتميز به البرنامج

ان السيرفر الخاص به صعير الحجم

وكما انه يختلف عن باقى برامج الاختراق فى انك بمجرد ارسال السيرفر فقد انتهى دورك

وبدا دور السيرفر

جيث يقوم بارسال ما قام بكتابته باستخدام مفاتيح الكى بورد

وبالتالى كل ما قام بتشغيله من برامج او ما دخله من مواقع الانترنت و ما كتبه اثناء

المحادثات الخاصة ببرامج الدردشة

واهم شى هو ما يكتبه اثناء تسجيل الدخول فى الايميل او المسينجر او الموقع

وهذه طبعا الباسوردات الخاصة به

واهم ميزات البرنامج انه يمكن من خلال التفارير الواردة معرفة جميع الباسوردات لدى الضحية

حتى الغير مخزنة بالجهاز وهذا ما تعجز عنه جميع برامج الاختراق الاخرى

كما يتميز ببساطته وسهولة استخدامه

-----------------------------------------------------

اما عيوب البرنامج فهى فليلة بالنسبة للمزايا

ومنها انه يفتقد خاصية التحكم فى جهاز الضحية مثل برامج الاختراق الاخرى

بل يقتصر دوره على المراقبة فقط

ويعيبه ان السيرفر يكتشفه الانتى فيرس (ولكن يمكن تشفيره)

كما انه يعمل فى الخلفية اى بالضغط على CTL+ALT+DEL يظهر البرنامج ضمن البرامج

العاملة حاليا

وبالتالى قد يكتشفه الضحية ان كان على درجة فائقة من الذكاء

وهذا لا يحدث لانه لو كان كذلك لما تم اختراقه من البداية

مشاكل وحلول

سيتم هنا طرح ما يصلنى من مشكلات قد تواجه مستخدمى البرنامج

لكل من وجد صعوبة فى استخدام البرنامج

لحصول على الشرح بطريقة مبسطة بال سكرين كاميرا اضغط على الوصلة التالية

اضغط يمينا واختار حفظ باسم (save target as ) او انسخها فى المتصفح

http://mypage.ayna.com/superenjoy2002/learn_attar.zip

وهذه الوصلة لبرنامج تشغيل ملفات السكرين كاميرا

http://mypage.ayna.com/superenjoy2002/SCRNCAM.zip

بعد فك ضغط الملفين قم بتشغيل scrncam player

(اذا ظهرت رسالة تفيد بان هناك ملفات ناقصة له اضغط ignore وسيعمل بلا مشاكل )

ومنه قم بعمل استعراض learn_attar لادخال ملف

play واضغط على ذر ليتم عرضه

واذا واجهتك صعوبة فى تنزيل البرنامج يمكنك تنزيله من الوصلة التالية بنفس الطريقة

http://mypage.ayna.com/superenjoy2002/attar.zip

السلام عليكم

بالنسبة للمشاكل التى وصلتنى من خلال رسائل المستخدمين اليكم الحلول

----------------------------------------------------------------------------------------------------------------------------------

(اولا) عند التحميل البرنامج يطلب باس ورد

هذا طبعا غير صحيح فالبرنامج مجانى 100 100

وهذه الباس ورد تخص برنامج DOWNLOAD ACCELERATOR الموجود على الجهاز وليس البرنامج

واليكم هذه الخدعة لتجاوز الباسورد حتى اذا كنتم لا تعرفوها

الغريب ان يمكن لاى شخص من خلال تغيير اعداداته تجاوز هذه الباسورد

اذا قام باختيار disable browser integration

او من خلال downloads الدخول الى options & configuration ثم الى

general

ثم تعيير امتدادات الملفات التى يعمل عليها download accelerator او

الغاء الامتداد الذى يرغب فى تنزيله ثم ok

وبذلك امكن تجاوز تلك الباسورد

----------------------------------------------------------------------------------------------------------------------------------------

(ثانيا) حملت البرنامج بدون مشاكل وسويت الاعدادات ذى الشرح بالضبط ولكن ظهرت لى رسالة خطا

can not open"agent.pi"file in corrent directorg.thisis main EXE fil for yor trojan.

وتعنى ان البرنامج لا يجد ملف agent

فالبرنامج عبارة عن ملفين رئيسيين هما attar agent.bin

وكلاهما ضرورى لصنع السيرفر

attar ملف محرر يغير من الاعدادات فى agent.bin و

agent.bin هو الملف الرئيسى ويحتوى ضمنا على كود السيرفر الذى سيتم تصنيعه

(لذا قد يتعرف عليه الانتى فيرس مثل معظم برامج الهاكرز)

لذلك فان الرسالة السابقة تعنى ان البرنامج لا يجد agent.bin وبالتالى لن يكون قادرا

على صنع السيرفر

ومن تظهر له هذه الرسالة قد يكون

بعد تنزيل البرنامج قام الانتى فيرس بمسح agent.bin

قام بفك ضغط ملف attar فقط دون agent.bin

لذلك عليه اعادة تنزيل البرنامج بعد ايقاف الانتى فيرس مؤقتا وفك الملفين المضغوطين

ليعملا جنبا الى جنب

------------------------------------------------------------------------------------------------------------------------------------------

(ثالثا) حملت البرنامج بدون مشاكل وسويت الاعدادات ذى الشرح بالضبط ولكن ظهرت لى رسالة خطا

can't open (create) out put file for writing . be sure the out put file does exist

وفيها يطلب البرنامج تعير مسار خروج السيرفر

فى هذه الحالة قم بتعيره من c:\windows\desktop\runme.exe

الى C:\runme.exe

وقم بتحصيل السيرفر من على ال c درايف لديك

-----------------------------------------------------------------------------------------------------------------------------------------

(رابعا ) سويت السيرفر ولكن كيف ارسله؟؟؟؟

يمكنك ارسال السيرفر عبر اى برامج الدردشة مثلا خلال msn messenger

اما بالنسبة لارساله عبر البريد فمن الصعب لان معظم سيرفرات البريد اصبح لديها انظمة حماية

قوية

الا اذا قمت بتشفيره او دمجه خلال صفحة انترنت ملغمة

----------------------------------------------------------------------------------------------------------------------------------------

(خامسا ) ارسلت السيرفر ولم يرسل تقارير !!!

بمجرد ضغط الضحية على السسرفر ينسخ نغسه فى ال system وبالتالى سيعمل حتى اذا مسح الملف

الاصلى

ويرسل تقريرا كل 10 دقائق يكونفيها الضحية على الانترنت

اما اذا لم يرسل

فربما الضحية لم يفتحه او بعد فتحه خرج من الانترنت او قام بعمل فورمات

لذا فاعد المحاولة

--------------------------------------------------

ايضا يمكنكم متابعة الموضوع او الموضوعات ذات الصلة فى عدد من المنتديات

منتديات الفريق العربى للبرمجة

ومنتديات اخرى كمنتديات القسام وكويت تن والحشاش ومنتديات المصرى وابن مصر وممكلكة الفنون

ودارك بلووز ودراكولا والعقرب الاحمر وفلاشيات والجلسة والملتقى وغيرها ......

Mohamed_Attar@hotmail.com للمراسلة

Visitor No

Guest Book