يتم التشغيل بواسطة Blogger.

آخر الحلقات عن الفيسبوك

آخر حلقات الويندوز

الاقسام

آخر الحلقات الحصرية

صوت وصورة

أخبار المشاهير

توقيت المغرب

رياضة عالمية

Main Post

أرشيف المدونة الإلكترونية

آخر الحلقات عن الانترنت

آخر حلقات الحماية من الهاكرز

أقسام

Send Quick Massage

الاسم

بريد إلكتروني *

رسالة *

إشترك بالمدونة

الكتاب الرسميون

الدولي

آخر الحلقات عن منتجات جوجل

المشاركات الشائعة

عن الموقع

my

Visitors

السبت، 25 يونيو، 2011

تحليل دودة W32.Rontokbro@mm

 LAPTOP BAG
اعتذر كوني تأخرت قليلا في وضع تحليل لهجمات ڤيروسات وهذا راجع لإنشغالاتي اليومية وكذلك السهر على الإجابة على اسئلتكم ... ، اليوم سنقوم نحن وإياكم بعميلة تشريح لدودة اللعينة
W32.Rontokbro.A@mm
حيث ان الڤيروس حالما يتم إحتقانه بالجهاز يبدئ في صنع ملفات تنفيذية شبيهة باللتي يستخدمها نظام تشغيل ويندوز واللتي هي كالآتي





c:\Documents and Settings\User\Local Settings\Application Data\csrss.exe
c:\Documents and Settings\User\Local Settings\Application Data\inetinfo.exe
c:\Documents and Settings\User\Local Settings\Application Data\lsass.exe
c:\Documents and Settings\User\Local Settings\Application Data\services.exe
c:\Documents and Settings\User\Local Settings\Application Data\smss.exe
c:\Documents and Settings\User\Local Settings\Application Data\winlogon.exe
c:\Documents and Settings\User\Start Menu\Programs\Startup\Empty.pif
c:\Documents and Settings\User\Templates\WowTumpeh.com
c:\System\'s Setting.scr
c:\Windir\eksplorasi.pif
c:\Windir\ShellNew\bronstab.exe
كما نلاحظ فكل البرامج الملونة باللون الصفر هي يعمل بها الويندوز ويمكن لك التأكد من ذلك بعمل  
Ctrl+alt+sup
واذهب إلى
fr (processus) / eng (process )

كما يقوم الڤيروس بوضع قيم رجستري في ملف الرجستري كالتالي

"Bron-Spizaetus-[ALÉATOIRE]" = "%Windir%\komodo-6[ALÉATOIRE]2.exe" 

"Tok-Cirrhatus-[ALÉATOIRE]" = "%System%\s[ALÉATOIRE]\zh59[ALÉATOIRE].exe"  
"Tok-Cirrhatus-[ALÉATOIRE]" = "%UserProfile%\Local Settings\Application Data\dv6[RANDOM]0x\yesbron.com" 

"Bron-Spizaetus-[ALÉATOIRE]" = " %Windir%\_default[ALÉATOIRE].pif"
"Userinit" = ",%Windir%\komodo-6[ALÉATOIRE]2.exe"
"Shell" = " %Windir%\cinderawasih-4[ALÉATOIRE]7.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
لكي نقوم بحذفه من الجهاز المصاب نقوم بالخطوات الاتية

تم تتبيث الاداة + عمل تحديث  malware byte تحميل اداة 
   Safe mode   إعادة تشغيل الجهاز والذخول عليه ب
 عمل سكان بالأداة
وعمل حذف للبرامج الضارة 


تم والحمد الله

التصنيفات


تحليل دودة W32.Rontokbro@mm

بواسطة : مدونة المحترف 3:23 ص
 LAPTOP BAG
اعتذر كوني تأخرت قليلا في وضع تحليل لهجمات ڤيروسات وهذا راجع لإنشغالاتي اليومية وكذلك السهر على الإجابة على اسئلتكم ... ، اليوم سنقوم نحن وإياكم بعميلة تشريح لدودة اللعينة
W32.Rontokbro.A@mm
حيث ان الڤيروس حالما يتم إحتقانه بالجهاز يبدئ في صنع ملفات تنفيذية شبيهة باللتي يستخدمها نظام تشغيل ويندوز واللتي هي كالآتي





c:\Documents and Settings\User\Local Settings\Application Data\csrss.exe
c:\Documents and Settings\User\Local Settings\Application Data\inetinfo.exe
c:\Documents and Settings\User\Local Settings\Application Data\lsass.exe
c:\Documents and Settings\User\Local Settings\Application Data\services.exe
c:\Documents and Settings\User\Local Settings\Application Data\smss.exe
c:\Documents and Settings\User\Local Settings\Application Data\winlogon.exe
c:\Documents and Settings\User\Start Menu\Programs\Startup\Empty.pif
c:\Documents and Settings\User\Templates\WowTumpeh.com
c:\System\'s Setting.scr
c:\Windir\eksplorasi.pif
c:\Windir\ShellNew\bronstab.exe
كما نلاحظ فكل البرامج الملونة باللون الصفر هي يعمل بها الويندوز ويمكن لك التأكد من ذلك بعمل  
Ctrl+alt+sup
واذهب إلى
fr (processus) / eng (process )

كما يقوم الڤيروس بوضع قيم رجستري في ملف الرجستري كالتالي

"Bron-Spizaetus-[ALÉATOIRE]" = "%Windir%\komodo-6[ALÉATOIRE]2.exe" 

"Tok-Cirrhatus-[ALÉATOIRE]" = "%System%\s[ALÉATOIRE]\zh59[ALÉATOIRE].exe"  
"Tok-Cirrhatus-[ALÉATOIRE]" = "%UserProfile%\Local Settings\Application Data\dv6[RANDOM]0x\yesbron.com" 

"Bron-Spizaetus-[ALÉATOIRE]" = " %Windir%\_default[ALÉATOIRE].pif"
"Userinit" = ",%Windir%\komodo-6[ALÉATOIRE]2.exe"
"Shell" = " %Windir%\cinderawasih-4[ALÉATOIRE]7.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
لكي نقوم بحذفه من الجهاز المصاب نقوم بالخطوات الاتية

تم تتبيث الاداة + عمل تحديث  malware byte تحميل اداة 
   Safe mode   إعادة تشغيل الجهاز والذخول عليه ب
 عمل سكان بالأداة
وعمل حذف للبرامج الضارة 


تم والحمد الله

تطوير : مدونة حكمات