تحليل دودة W32.Rontokbro@mm

1 سبتمبر، 2021

LAPTOP BAG

اعتذر كوني تأخرت قليلا في وضع تحليل لهجمات ڤيروسات وهذا راجع لإنشغالاتي اليومية وكذلك السهر على الإجابة على اسئلتكم … ، اليوم سنقوم نحن وإياكم بعميلة تشريح لدودة اللعينة

W32.Rontokbro.A@mm

حيث ان الڤيروس حالما يتم إحتقانه بالجهاز يبدئ في صنع ملفات تنفيذية شبيهة باللتي يستخدمها نظام تشغيل ويندوز واللتي هي كالآتي

c:Documents and SettingsUserLocal SettingsApplication Datacsrss.exe
c:Documents and SettingsUserLocal SettingsApplication Datainetinfo.exe
c:Documents and SettingsUserLocal SettingsApplication Datalsass.exe
c:Documents and SettingsUserLocal SettingsApplication Dataservices.exe
c:Documents and SettingsUserLocal SettingsApplication Datasmss.exe
c:Documents and SettingsUserLocal SettingsApplication Datawinlogon.exe
c:Documents and SettingsUserStart MenuProgramsStartupEmpty.pif
c:Documents and SettingsUserTemplatesWowTumpeh.com
c:System’s Setting.scr
c:Windireksplorasi.pif
c:WindirShellNewbronstab.exe

كما نلاحظ فكل البرامج الملونة باللون الصفر هي يعمل بها الويندوز ويمكن لك التأكد من ذلك بعمل

Ctrl+alt+sup

واذهب إلى

fr (processus) / eng (process )

كما يقوم الڤيروس بوضع قيم رجستري في ملف الرجستري كالتالي

"Bron-Spizaetus-[ALÉATOIRE]" = "%Windir%komodo-6[ALÉATOIRE]2.exe"

"Tok-Cirrhatus-[ALÉATOIRE]" = "%System%s[ALÉATOIRE]zh59[ALÉATOIRE].exe"

"Tok-Cirrhatus-[ALÉATOIRE]" = "%UserProfile%Local SettingsApplication Datadv6[RANDOM]0xyesbron.com"

"Bron-Spizaetus-[ALÉATOIRE]" = " %Windir%_default[ALÉATOIRE].pif"

"Userinit" = ",%Windir%komodo-6[ALÉATOIRE]2.exe"
"Shell" = " %Windir%cinderawasih-4[ALÉATOIRE]7.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

لكي نقوم بحذفه من الجهاز المصاب نقوم بالخطوات الاتية

تم تتبيث الاداة + عمل تحديث malware byte تحميل اداة

Safe mode إعادة تشغيل الجهاز والذخول عليه ب

عمل سكان بالأداة وعمل حذف للبرامج الضارة

تم والحمد الله

1 سبتمبر، 2021

مقالات ذات صلة