السبت، 25 يونيو 2011

تحليل دودة W32.Rontokbro@mm

 LAPTOP BAG
اعتذر كوني تأخرت قليلا في وضع تحليل لهجمات ڤيروسات وهذا راجع لإنشغالاتي اليومية وكذلك السهر على الإجابة على اسئلتكم ... ، اليوم سنقوم نحن وإياكم بعميلة تشريح لدودة اللعينة
W32.Rontokbro.A@mm
حيث ان الڤيروس حالما يتم إحتقانه بالجهاز يبدئ في صنع ملفات تنفيذية شبيهة باللتي يستخدمها نظام تشغيل ويندوز واللتي هي كالآتي





c:\Documents and Settings\User\Local Settings\Application Data\csrss.exe
c:\Documents and Settings\User\Local Settings\Application Data\inetinfo.exe
c:\Documents and Settings\User\Local Settings\Application Data\lsass.exe
c:\Documents and Settings\User\Local Settings\Application Data\services.exe
c:\Documents and Settings\User\Local Settings\Application Data\smss.exe
c:\Documents and Settings\User\Local Settings\Application Data\winlogon.exe
c:\Documents and Settings\User\Start Menu\Programs\Startup\Empty.pif
c:\Documents and Settings\User\Templates\WowTumpeh.com
c:\System\'s Setting.scr
c:\Windir\eksplorasi.pif
c:\Windir\ShellNew\bronstab.exe
كما نلاحظ فكل البرامج الملونة باللون الصفر هي يعمل بها الويندوز ويمكن لك التأكد من ذلك بعمل  
Ctrl+alt+sup
واذهب إلى
fr (processus) / eng (process )

كما يقوم الڤيروس بوضع قيم رجستري في ملف الرجستري كالتالي

"Bron-Spizaetus-[ALÉATOIRE]" = "%Windir%\komodo-6[ALÉATOIRE]2.exe" 

"Tok-Cirrhatus-[ALÉATOIRE]" = "%System%\s[ALÉATOIRE]\zh59[ALÉATOIRE].exe"  
"Tok-Cirrhatus-[ALÉATOIRE]" = "%UserProfile%\Local Settings\Application Data\dv6[RANDOM]0x\yesbron.com" 

"Bron-Spizaetus-[ALÉATOIRE]" = " %Windir%\_default[ALÉATOIRE].pif"
"Userinit" = ",%Windir%\komodo-6[ALÉATOIRE]2.exe"
"Shell" = " %Windir%\cinderawasih-4[ALÉATOIRE]7.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
لكي نقوم بحذفه من الجهاز المصاب نقوم بالخطوات الاتية

تم تتبيث الاداة + عمل تحديث  malware byte تحميل اداة 
   Safe mode   إعادة تشغيل الجهاز والذخول عليه ب
 عمل سكان بالأداة
وعمل حذف للبرامج الضارة 


تم والحمد الله

ليست هناك تعليقات:

إرسال تعليق