تحليل دودة W32.Rontokbro@mm

 LAPTOP BAG

اعتذر كوني تأخرت قليلا في وضع تحليل لهجمات ڤيروسات وهذا راجع لإنشغالاتي اليومية وكذلك السهر على الإجابة على اسئلتكم … ، اليوم سنقوم نحن وإياكم بعميلة تشريح لدودة اللعينة

W32.Rontokbro.A@mm
حيث ان الڤيروس حالما يتم إحتقانه بالجهاز يبدئ في صنع ملفات تنفيذية شبيهة باللتي يستخدمها نظام تشغيل ويندوز واللتي هي كالآتي

c:Documents and SettingsUserLocal SettingsApplication Datacsrss.exe
c:Documents and SettingsUserLocal SettingsApplication Datainetinfo.exe
c:Documents and SettingsUserLocal SettingsApplication Datalsass.exe
c:Documents and SettingsUserLocal SettingsApplication Dataservices.exe
c:Documents and SettingsUserLocal SettingsApplication Datasmss.exe
c:Documents and SettingsUserLocal SettingsApplication Datawinlogon.exe
c:Documents and SettingsUserStart MenuProgramsStartupEmpty.pif
c:Documents and SettingsUserTemplatesWowTumpeh.com
c:System’s Setting.scr
c:Windireksplorasi.pif
c:WindirShellNewbronstab.exe

كما نلاحظ فكل البرامج الملونة باللون الصفر هي يعمل بها الويندوز ويمكن لك التأكد من ذلك بعمل  
Ctrl+alt+sup
واذهب إلى
fr (processus) / eng (process )
كما يقوم الڤيروس بوضع قيم رجستري في ملف الرجستري كالتالي

"Bron-Spizaetus-[ALÉATOIRE]" = "%Windir%komodo-6[ALÉATOIRE]2.exe" 

"Tok-Cirrhatus-[ALÉATOIRE]" = "%System%s[ALÉATOIRE]zh59[ALÉATOIRE].exe"  
"Tok-Cirrhatus-[ALÉATOIRE]" = "%UserProfile%Local SettingsApplication Datadv6[RANDOM]0xyesbron.com" 
"Bron-Spizaetus-[ALÉATOIRE]" = " %Windir%_default[ALÉATOIRE].pif"
"Userinit" = ",%Windir%komodo-6[ALÉATOIRE]2.exe"
"Shell" = " %Windir%cinderawasih-4[ALÉATOIRE]7.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

لكي نقوم بحذفه من الجهاز المصاب نقوم بالخطوات الاتية
تم تتبيث الاداة + عمل تحديث  malware byte تحميل اداة 

   Safe mode   إعادة تشغيل الجهاز والذخول عليه ب

 عمل سكان بالأداة
وعمل حذف للبرامج الضارة 


تم والحمد الله