تحليل دودة W32.Rontokbro@mm
LAPTOP BAG
اعتذر كوني تأخرت قليلا في وضع تحليل لهجمات ڤيروسات وهذا راجع لإنشغالاتي اليومية وكذلك السهر على الإجابة على اسئلتكم ... ، اليوم سنقوم نحن وإياكم بعميلة تشريح لدودة اللعينة W32.Rontokbro.A@mm
حيث ان الڤيروس حالما يتم إحتقانه بالجهاز يبدئ في صنع ملفات تنفيذية شبيهة باللتي يستخدمها نظام تشغيل ويندوز واللتي هي كالآتي
c:\Documents and Settings\User\Local Settings\Application Data\csrss.exe
c:\Documents and Settings\User\Local Settings\Application Data\inetinfo.exe
c:\Documents and Settings\User\Local Settings\Application Data\lsass.exe
c:\Documents and Settings\User\Local Settings\Application Data\services.exe
c:\Documents and Settings\User\Local Settings\Application Data\smss.exe
c:\Documents and Settings\User\Local Settings\Application Data\winlogon.exe
c:\Documents and Settings\User\Start Menu\Programs\Startup\Empty.pif
c:\Documents and Settings\User\Templates\WowTumpeh.com
c:\System\'s Setting.scr
c:\Windir\eksplorasi.pif
c:\Windir\ShellNew\bronstab.exe
كما نلاحظ فكل البرامج الملونة باللون الصفر هي يعمل بها الويندوز ويمكن لك التأكد من ذلك بعمل
Ctrl+alt+sup
واذهب إلى
fr (processus) / eng (process )
كما يقوم الڤيروس بوضع قيم رجستري في ملف الرجستري كالتالي
"Bron-Spizaetus-[ALÉATOIRE]" = "%Windir%\komodo-6[ALÉATOIRE]2.exe"
"Tok-Cirrhatus-[ALÉATOIRE]" = "%System%\s[ALÉATOIRE]\zh59[ALÉATOIRE].exe"
"Tok-Cirrhatus-[ALÉATOIRE]" = "%UserProfile%\Local Settings\Application Data\dv6[RANDOM]0x\yesbron.com"
"Bron-Spizaetus-[ALÉATOIRE]" = " %Windir%\_default[ALÉATOIRE].pif"
"Userinit" = ",%Windir%\komodo-6[ALÉATOIRE]2.exe"
"Shell" = " %Windir%\cinderawasih-4[ALÉATOIRE]7.exe"
"Shell" = " %Windir%\cinderawasih-4[ALÉATOIRE]7.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
لكي نقوم بحذفه من الجهاز المصاب نقوم بالخطوات الاتية
تم تتبيث الاداة + عمل تحديث malware byte تحميل اداة
Safe mode إعادة تشغيل الجهاز والذخول عليه ب
عمل سكان بالأداة
وعمل حذف للبرامج الضارة
وعمل حذف للبرامج الضارة
تم والحمد الله