الموضوع الشامل عن الدودة المزعجه برونتوك و كيفيه القضاء عليها

[مال الحاله]

السلام عليكم و رحمه الله وركاته​

شلونكم شباب ..... و شخباركم ..!؟.؟!.
عساكم بخير بعد شهر الخير .. ​

تبعا لمسيره استاذي زيزوووم قمت بتجميع معلومات عن الدوده المشاغبه برونتوك و التي معظمكم تعرض لها لكن لا تخافون .. اخوكم مال الحاله سوالكم اسلحه مدمره تخلصكم منها ..
بسم الله نبدأ
ــــــــــــــــــــــــــــــــــــــــ
هذه الدوده لها انواع كثيره و هي ::
Brontok.A
Brontok.B
Brontok.C
Brontok.D
Brontok.F
Brontok.G
Brontok.H
Brontok.I
Brontok.K
Brontok.Q​

كما تسمى بهذه الاسماء ايضا ::
W32/Rontokbro.gen@MM
W32.Rontokbro@mm BackDoor.Generic.1138
W32/Korbo-B
Worm/Brontok.a
Win32.Brontok.A@mm Worm.Mytob.GH
W32/Brontok.C.worm
Win32/Brontok.E
W32.Rontokbro.D@mm​

مصدر الدوده ::
اندونيسيا ....
فحاسب عندما تستقبل بريد من اندونيسيا او رساله مكتوبه بلغه اندونيسيه ..​

الانظمه التي تخترقها :
Windows 95
Windows 98
Windows 98 SE
Windows NT
Windows ME
Windows 2000
Windows XP
Windows 2003​

طريقه الإنتقال :
عن طريق الايميل...
و هذي هي الرساله اللي تحتوي على الدوده و تكون على هذي النمط ..
اذا كنت مستقبل الرساله من اندونيسيا . بتوصلك هلون ..​

Sender:

​

Angelina_ph@​

او​

Jennifer_sh@​

Subject: Fotoku yg Paling Cantik ​

Message text: ​

Hi,​

Aku lg iseng aja pengen kirim foto ke kamu.
Jangan lupain aku ya !.​

Thanks​

اما اذا استقبلتها من مكان ثاني ..​

Subject: My Best Photo ​

Message text: ​

Hi,​

I want to share my photo with you.
Wishing you all the best. ​

Regards, ​

Attachment name: Photo.zip​

و مثل ما تجوفون فقد ارفق صاحب الرساله ملف يحتوي على الدوده والملف له اسماء متعدده منها: Photo.zip , kangen.exe اذا نزلته راحت عليك​

الآثار الجانبيه للدوده :​

1- تقوم بتعطيل الدخول لبعض المواقع .​

2- تقوم بتعطيل الدخول لمواقع الحمايه .​

3- تقود بتعطيل برامج الحمايه .​

4- تقود بتنزيل ملفات . (خاصه بها او لا )​

5- تستخدم محرك الايميلات الخاص بها .. لإرسال الرسائل​

6- حمايه منخفضه .​

7- تقوم بالتعديل في مسجل النظام .​

وصف الدوده و ماتقوم بفعله في الجهاز :​

الوصف : هذه الدودة وهي الأخطر طبعاً تقوم بإرسال نفسها على جميع عناوين مستخدم الجهاز المصاب​

- اول ما تخترق الدوده جهازك .. ! تنسخ نفسها في الـ " User's application data directory " ​

ثم تقوم بإنشاء هذه القيم في مسجل النظام لتعمل فور تشغيل الجهاز ....​

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

​

"Bron-Spizaetus" = "%Windir%\ShellNew\bronstab.exe"​

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]​

"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe"​

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]​

"Shell"="Explorer.exe %Windir%\eksplorasi.pif"​

- تقوم بتعطيل فتح مسجل النظام :​

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]​

- و تعبث في اوضاع متصفح الويندوز Windows Explorer ​

- تقوم بإزاله الخيار "Folder Option" او خيارات المجلد من قائمة ادوات​

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

​

"NoFolderOptions"="1"​

- و أيضا تقوم بعدم إظهار الملفات المخفيه​

- تقوم بإطفاء الفاير وول للويندوز​

- وطبعا مادامت تستخدم محرك رسائل خاص بها .... فهي تطرش رسايل لكل ايميل موجود في جهازك سواء على المسنجر او غيره​

- عند تشغيل cmd او الدوس .. يتم إعاده تشغيل للجهاز .​

- عند اول تشغيل للملف المصاب تقوم الدوده بإعاده تشغيل الجهاز​

- عند الوصول إلى مجلد الدوده في Application Data تقوم بإعاده تشغيل الجهاز​

- عند تشغيل اي ملف ينتهي بالصيغ EXE , Registry فالدوده ستقوم بإعاده تشغيل الجهاز​

- هذه الدودة تنتقل على الشبكة بسرعة و يمكن ملاحظة ملف باسم Desktop على سطح المكتب بعد الإصابة بأيقونة تأخذ شكل المجلد العادي أي انك ستظن أنها مجلد و ليست تطبيق و عندما تقوم بالنقر عليها ستقوم بفتح مجلد سطح المكتب أو المستندات .​

- نسخ ملفات جديدة بالنظام باسم:
KesenjanganSosial
cmd-brontok
br5601on​

- إضافة مهام للنظام بإسم AT1.jop و AT2.jop​

ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ​

ياخي فريت راسنه و يا هالحجي نبي الزبده ... وين الاسلحه المدمره مالتك ...! ​

افا عليكم يبت لكم اسلحه تشيل الدوده شيل ... ​

.....................................................​

تقدرون تشيلونها بهذي الطريقه : تابعوا معاي :​

الخطوه الاولى :​

تعطيل استعاده النظام System Restore​

طريقه تعطيل استعاده النظام للويندوز XP :

​

كليك يمين على My Computer >> Properties​

​

ضع علامه صح امام Turn Off system restore​

طريقه تعطيل استعاده النظام للويندوز ME :

​

كليك يمين على ايقونه My Computer >> Properties ​

ثم Performance ثم File System ​

​

ثم نضع علامه صح امام Disable System Restore ​

​

نعيد تشغيل الجهاز بعد الضغط على موافق ​

الخطوه الثانيه​

تحديث الانتي فايروس اللي عندك​

الخطوه الثالثه​

إعاده التشغيل و الدخول للوضع الامن ​

الخطوه الرابعه​

فحص الجهاز بالانتي فايروس من الوضع الامن و تنضيفه ​

و بعد الانتهاء من الفحص و التنظيف نعيد التشغيل و الدخول للويندوز في الوضع العادي​

حمل هذا الملف على جهاز غير مصاب بالفايروس​

ثم فك الضغط عنه و احفظه في قرص مرن Floppy​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

للأسف لا املك الملف المطلوب (( و الرجاء لمن قام بتنزيله انه يرفعه مره اخرى . وله جزيل الشكر ((​

ضع القرص المرن في الجهاز المصاب و من على الملف اختر Install​

​

الخطوه الخامسه:​

من ابدأ >> Start​

تشغيل >> Run​

ثم تتبع هذا المسار >>​

HKEY_LOCAL_MACHINE​

Software​

Microsoft​

Windows​

CurrentVersion

Run​

..................​

و من الجهة اليمنى تحذف هذه القيمه​

"Bron-Spizaetus" = "%Windir%\INF\norBtok.exe"​

..................​

أيضا هذا المسار​

HKEY_CURRENT_USER​

Software​

Microsoft​

Windows​

CurrentVersion​

Run​

..................​

و من الجهة اليمنى تحذف هذه القيمه ​

"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe"​

الخطوه السادسه :​

من لوحة التحكم​

نفتح هذه Scheduled Tasks​

و تحذف ما أضافته الدوده​

%UserProfile%\Templates\A.KotnorB.com​

​

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــ​

او انك ماتعور راسك ولا شي​

تنزل الاداه اللي سويتها فيها تقريبا خمس ادوات لإزاله هذه الدوده​

و على فكره الاداه تحتوي على سجل من النظام لفتح مسجل النظام في حالة اقفلته الدوده​

بأسم : unlockreg​

الاداه تقدر تنزلها من هني​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

و هذي اداه مرفوعه من اخونا boob77​

الف شكر يالغالي بارك الله فيك​

والخطوة السابعة اداة تشيل الفايروس​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يعطيك العافية على الشرح والتفاصيل​

مشكووره و ماقصرت جعله الله في ميزان حسناتك​

----------------------------​

لكن لا تنسوون .. عند اي بحث او ازاله للدوده يجب ​

استخدام الادوات في الوضع الامن و تعطيل خاصيه استعاده النظام كما اسلفنا​

والحين اتركم مع الاداه و انشالله تفيدكم ​

و اجوفكم في موضوع يديد​

،،​

،،​

،،​

مع تحيات مال الحاله​

،​

 

[مال الحاله]

تسلمون احبائي على المرور الطيب
و اتمنى لكم الفائده​

 

[ban]

تسلم اخي مال الحاله على هذا الموضوع الجيد:iconmju30: وعلى هذه المعلومات القيمة :kmj-by0000 (14):

واذا سمحت لي هناك ملاحظة,وهي ان الصور لاتظهر,مع جزيل الشكر :jhuyno:​

 

[ban]

تسلم اخي مال الحاله على هذا الموضوع الجيد وعلى هذه المعلومات القيمة

واذا سمحت لي هناك ملاحظة,وهي ان الصور لاتظهر,مع جزيل الشكر ​

 

[الآمل الطائر]

يعطيك الف الف عافية​

 

[mezouari]

أخي الكريم
نظرا لأهمية الموضوع و لحاجة الاعضاء الكرام للمعلومات الواردة فيه رجاء حار باعادة رفع الصور حتي يتسنى للجميع الاستفادة
و شكرا مسبقا​

 

[Blackstar_tech]

شكرا يا غالي

 

[KingoOo]

يعطيك الف الف عافية​

 

[sdook]

رحم الله والديك على الشرح الوافي والله لايحرمنا من جديدك الرائع

 

[مال الحاله]

شكرا لكم يالحبايب ... على المرور

و لعيونكم رفعت الصور مره ثانيه ....

و ان شالله يستفيد الكل من الموضوع ...​

 

[emperor_2222]

مشكور أخي ما قصرت
والله يعطيك العافية

 

[أيمن]

بارك الله فيك يالغالي

 

[بحر الهوى]

مشاء الله عليك وجزاك الله خير

 

[كندوه1]

يعطيك العافيه

 

[مال الحاله]

الله يعافيكم اخواني و يبارك فيكم و يسلمكم ان شالله ...

مشكورين على المرور .. و اتمنى لكم الفايده ..

 

[طوماس]

مشكور اخي الكريم

وجزاك الله خير​

 

[zrban]

لو سمحتم ارفعوا الملف اللي في الخطوة الرابعة

 

[miss toto]

و الي ماقدر يدخل على خصائص الجهاز عشان يلغي خاصية إستعادة النظام !
شيسوي ؟

:no:

 

[saudi-falcon]

السلام عليكم
مشكورر اخوي على الموضوع الجميل
وانا والله جتني رساله طلب مني فيها مشاركة الصور

فوافقت وعندما فتحتها لم اجد شي
رد علي المتصل بي عن طريق الياهو

وطلب مني الا اقلق لانه لا يريد ان يضر بجهازي
انا حظرت ذلك الشخص
لكن ما ادري هل جهازي تضرر ام لا؟

 

[ebrhimr]

جزاك الله خيرا

 

[deaahelal]

بارك الله فيك​