السلام عليكم ورحمة الله وبركاته
ضمن هذا العدد المتجدد من فيروس تحت المجهر , سوف نتتطرق الى
روتكيت خبيث يقوم بحقن نفسه و غيره من الملفات الخبيثة في جهازنا
Rootkit.Agent.QV
وسوف نحاول تسليط الضوء على هذا الروتكيت و كيفية ازالته من الجهاز
لمحة عن Rootkit.Agent.QVوخطورته: هذا الروتكيت يقوم بحقن نفسه في احد العمليات السليمة باالجهاز بغرض اخفاء نفسه
ويصبح من الصعب اكتشافه ببرامج الحماية وباالاساليب العادية حيث يقوم هذا الروتكيت
بتغيير اعدادات الويندوز اكسبلورار ويقوم ايضا بااستعمال سريفرات خارجية لتحميل برمجيات خبيثة
اخري الي جهاز الضحية..
بعض المعلومات التقنية عن هذا الروتكيت:Rootkit.Agent.QV يقوم باالتالي اثناء دخوله الي الجهاز
1_ انشاء مفاتيح الروجيستري التالية :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79FC744E-75CA-49B0-8F02-AEAE4CAACBE0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79FC744E-75CA-49B0-8F02-AEAE4CAACBE0}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\UserFaults
_________________________________________________
2_يقوم ايضا باانشاء الملفات التالية :
%Temp%\r2d7.dll
%Temp%\sample1\2ACE4CFBAF2C.dll
%Windir%\Help\2ACE4CFBAF2C.dll
%System%\kavo0.dll
كما يقوم باانشاء بروسيس خاص به تحت هذا الاسم
2ACE4CFBAF2C.exe
8e.com
افضل وسيلة للقضاء على هذا الروتكيت : نقوم بالتالي وبحول الله
1- استخدام الاداة المشهورة لـ ايقاف البروسيسات الضارة RKill
2- استخدام اداة MalwareByte anti-rootkit
3- فحص الجهاز ببرنامج MalwareBytes Anti-Malware
او
4- Emsisoft Anti-Malware
5- واخيراً تنظيف الجهاز ببرنامج CCleaner
الموضوعالأصلي : █▓▒░ فيروس تحت المجهر ░▒▓█ Rootkit.Agent.QV // المصدر :