هان ! دشمني با يکديگر، زداينده است .مقصودم زداينده مو نيست، که زداينده دين است . [رسول خدا صلي الله عليه و آله]

پردازشگر

+ پاک کردن ويروس ضد انقلاب از سيستم(سه‏شنبه 21 خرداد 1387 ساعت 3:17 عصر )

%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe

در صورتي که داخل نام فايل اجرايي کلمه ScreenSaver وجود داشته باشد پيامي به شکل زير نمايش مي‌دهد.

The application failed to initialize properly (0x0000005). Click on OK to terminate the application.

سپس فايل خود با نام svchost.exe در مسير %TEMP% را اجرا کرده و براي اينکه با هر بار راه‌اندازي سيستم آلوده به طور خودکار اجرا گردد، خود را به شکل زير در رجيستري ثبت مي‌نمايد:

HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کليدهايي در رجيستري را به شکل زير تغيير مي‌دهد:

HKCU\Software\Microsoft\windows\CurrentVersion\Exp lorer\Advanced
Hidden = 2
HideFileExt = 2

ShowSuperHidden = 2
HKCU\Software\Microsoft\windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1

HKLM\Software\Microsoft\windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1

HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore
DisableConfig = 0
DisableSR = 1

تغييرات فوق باعث بروز مشکلاتي از جمله باز نشدن FolderOption و مخفي نگه داشتن فايلهاي مخفي مي‌گردد که براي برطرف کردن اين مشکلات مي‌توانيد برنامه زير را از سايت ايمن دانلود کرده و رجيستري خود را پاکسازي نماييد:
www.ImenAntiVirus.com/RegRepair.zip
همچنين کليد IsShortCut را از مسيرهاي زير در رجيستري پاک مي‌کند:

HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut

و کليدي با نام Wintek در مسير زير ايجاد مي‌کند:

HKEY_CURRENT_USER\Software\

و کليد زير را در آن ايجاد مي‌نمايد:

Install = b2ed3 (Dword ? Value is in hex)

بعد از انجام کارهاي فوق تمام برنامه‌هاي موجود در زمانبند ويندوز (دستور at) را پاک کرده و با استفاده از زمانبند ويندوز فايل خود را که با نام OfficeUpdate.exe در مسير WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا مي‌نمايد.

يکي ديگر از کارهاي اين کرم اين است که خود را در مسيرهاي زير با نام‌هاي فريبنده کپي مي‌کند و از آنجايي که برخي از اين مسيرها مخصوص برنامه‌هاي شبکه‌هاي اشتراک‌گذاري فايل (يا P2P) هستند، با اين کار امکان انتشار آن در سراسر دنيا از طريق اينگونه برنامه‌ها فراهم مي‌گردد:

%PROGRAMFILES%\Kazaa Lite\My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\Icq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Downloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Limewire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\

به علاوه در مسيرهايي که در آنها فايل‌هاي از نوع MP3 ، JPG يا EXE وجود داشته باشد، خود را با نام zfile.exe کپي مي‌کند. همچنين خود را با نام setup.exe و setlib.exe در مسيرهاي زير کپي مي‌کند:

\windows\system32\config\systemprofile\My Documents\
\windows\system32\config\systemprofile\Start Menu\Programs\
\windows\system32\config\systemprofile\Start Menu\Programs\Accessories\

\windows\system32\config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

\windows\system32\config\systemprofile\Start Menu\Programs\Startup\...

\windows\system32\drivers\
\windows\system32\spool\drivers\
\windows\system32\spool\drivers\w32x86\3\

اين کرم براي اينکه بتواند خود را درون شبکه تکثير کند، کامپيوترهاي موجود در آن را جستجو کرده و با استفاده از درايوهاي به اشتراک گذاشته شده، سعي مي‌کند خودش را به شکل زير بر روي آن سيستم‌ها کپي کند:

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

اين کار باعث مي‌شود که پس از راه‌اندازي آن سيستم‌ها، ويروس به طور خودکار اجرا شده و عمليات تکثيري خود را بر روي آنها انجام دهد.

از جمله کارهاي جالب اين ويروس اين است که خودش را در ريشه همه درايوها با نام autoply.exe کپي کرده و در کنار آن فايلي با نام Autorun.inf ايجاد مي‌کند. اين عمل باعث مي‌شود که هر گاه کاربر بخواهد به هر شکلي وارد هر درايوي شود، فايل مربوط به کرم اجرا گردد. نوع Autorun ايجاد شده به گونه‌ايست که اگر فايل autoply.exe که خود کرم است از روي سيستم پاک شده ولي فايل Autorun.inf باقي بماند، با دوبار کليک کردن بر روي نام درايو پنجره Open with نمايش داده مي‌شود و کاربر نمي‌تواند وارد درايو شود. در اين حالت با کليک راست نمودن بر روي نام درايو و انتخاب گزينه Open نيز نمي‌توان وارد درايو شد. براي برطرف نمودن اين مشکل بايستي فايل زير را از روي سايت ايمن دانلود نموده و آن را بر روي سيستم خود اجرا نماييد:
http://www.imenantivirus.com/NoAutorun.zip
اين کرم فايلي با نام Important.htm را در مسيرهاي زير بر روي سيستم کاربر کپي مي‌نمايد که حاوي جملاتي به زبان فارسي است:

%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\

همان جملات را درون فايلي با نام print.txt در مسير %TEMP% کپي کرده و بعد آن اجرا مي‌کند.

در انتها ميانبر (Shortcut) هاي برنامه هاي Paint و Calculator و Notepad و Cmd را به گونه اي تغيير مي دهد که قبل از اجراي برنامه اصلي ويروس اجرا شود که بعد از پاکسازي ميانبر برنامه اصلي اجرا نمي‌شود

يکي از نشانه‌هاي ويروس به نمايش درآوردن نواري زرد رنگ در بالاي صفحه همراه با جملاتي فارسي با رنگ قرمز است

» رضا سياه لو
»» نظرات ديگران ( نظر)