ملف مشبوه و غير مكتشف تقريبا بإنتظار تجاربكم ...

بسم الله الرحمن الرحيم

السلام عليكم و رحمة الله و بركاته

في البداية أحب أن أبارك لجميع الأخوة في تونس الشقيقة لنصر الذي حققوه بخلع زين الكافرين الذي أفسد كثيرا في البلاد و بإذن الله تتم الإطاحة بالنظام الحكام بأكمله ...

الملف المشبوه :
عبارة عن ملف تنفيذي يقوم بالعمليات التالية :
يقوم بوقف خاصية التحديث التلقائي للوندوز
ينشئ ملفات بأسماء عشوائية بكل من المجلدات التالية :
AppData
Temp
Windir
يقوم بفتح المنفذ رقم 1058
يحمل ملفات من الإنترنت ..
ينشئ القيم التالية كود:

• The following Registry Keys were created:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows Defender
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_75721DC0
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_75721DC0\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_75721DC0\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_75721DC0
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_75721DC0\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_75721DC0\0000\Control
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULA TION
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\international

• The following Registry Keys were deleted:
  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\ Navigating
  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\ Navigating\.Current
  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\ Navigating\.Default

• The newly created Registry Values are:
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
    • NoAutoUpdate = 0x00000001
    • NoWindowsUpdate = 0x00000001
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
    • dfg49df = "%Windir%\mike150.exe"
    so that mike150.exe runs every time Windows starts
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\WindowsUpdate\Auto Update]
    • NoAutoUpdate = 0x00000001
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows Defender]
    • DisableAntiSpyware = 0x00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_75721DC0\0000\Control]
    • *NewlyCreated* = 0x00000000
    • ActiveService = "75721dc0"
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_75721DC0\0000]
    • Service = "75721dc0"
    • Legacy = 0x00000001
    • ConfigFlags = 0x00000000
    • Class = "LegacyDriver"
    • ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    • DeviceDesc = "75721dc0"
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_75721DC0]
    • NextInstance = 0x00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_75721DC0\0000\Control]
    • *NewlyCreated* = 0x00000000
    • ActiveService = "75721dc0"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_75721DC0\0000]
    • Service = "75721dc0"
    • Legacy = 0x00000001
    • ConfigFlags = 0x00000000
    • Class = "LegacyDriver"
    • ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    • DeviceDesc = "75721dc0"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_75721DC0]
    • NextInstance = 0x00000001
  • [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULA TION]
    • svchost.exe = 0x000022B8
  • [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\international]
    • acceptlanguage = "en-us"
  • [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings]
    • maxhttpredirects = 0x000022B8
    • enablehttp1_1 = 0x00000001
    • ProxyEnable = 0x00000000
  • [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    • Check_Associations = "no"

• The following Registry Values were deleted:
  • [HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\ Navigating\.Default]
    • (Default) = "%SystemRoot%\media\Windows XP Start.wav"
  • [HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\ Navigating\.Current]
    • (Default) = "%SystemRoot%\media\Windows XP Start.wav"
  • [HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\ Navigating]
    • (Default) = ""

• The following Registry Values were modified:
  • [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\Shell Folders]
    • Cookies =
    • History =
  • [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\3]
    • CurrentLevel =
    • 1601 =

تحليل الملف :
VT
threatexpert
comodo

الإرسال لأول ثلاث أعضاء ...

أكثر...